Entiteiten in Oekraïne zijn het doelwit van een phishing -campagne die is ontworpen om een Trojan op afstand te distribueren genaamd Remcos Rat.
“De bestandsnamen gebruiken Russische woorden die verband houden met de beweging van troepen in Oekraïne als een kunstaas”, zei Cisco Talos -onderzoeker Guilhe Venere in een rapport dat vorige week werd gepubliceerd. “De PowerShell-downloader neemt contact op met Geo-omgehecht servers in Rusland en Duitsland om het ZIP-bestand van de tweede fase met de REMCOS-achterdeur te downloaden.”
De activiteit is toegeschreven met gematigd vertrouwen aan een Russische hackgroep die bekend staat als Gamaredon, die ook wordt gevolgd onder de Monikers Aqua Blizzard, Armageddon, Blue Otso, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, Unc530 en winterflier.
De dreigingsacteur, beoordeeld als aangesloten bij de Russische Federal Security Service (FSB), staat bekend om zijn targeting van Oekraïense organisaties voor spionage en gegevensdiefstal. Het is operationeel sinds minstens 2013.
De nieuwste campagne wordt gekenmerkt door de distributie van Windows Shortcut (LNK) -bestanden die zijn gecomprimeerd in zip-archieven, waardoor ze worden vermomd als Microsoft Office-documenten met betrekking tot de lopende Russo-Oukrainische oorlog om ontvangers te misleiden om ze te openen. Er wordt aangenomen dat deze archieven worden verzonden via phishing -e -mails.
De links naar Gamaredon komen voort uit het gebruik van twee machines die werden gebruikt bij het maken van de kwaadaardige sneltoetsen en die eerder door de dreigingsacteur voor vergelijkbare doeleinden werden gebruikt.
De LNK-bestanden zijn uitgerust met PowerShell-code die verantwoordelijk is voor het downloaden en uitvoeren van de volgende fase payload cmdlet Get-Command, en het ophalen van een lokvogel dat aan het slachtoffer wordt weergegeven om de list te behouden.
De tweede fase is een ander zip-archief, dat een kwaadaardige DLL bevat die moet worden uitgevoerd via een techniek die DLL-side-loading wordt genoemd. De DLL is een lader die de laatste REMCOS -lading van gecodeerde bestanden in het archief decodeert en uitvoert.
De openbaarmaking komt als stille push gedetailleerd een phishing -campagne die website kunstaas gebruikt om informatie te verzamelen tegen Russische personen die sympathiek zijn voor Oekraïne. De activiteit wordt beschouwd als het werk van Russische inlichtingendiensten of een dreigingsacteur die is afgestemd op Rusland.
De campagne bestaat uit vier grote phishing -clusters, die zich voordoen als de US Central Intelligence Agency (CIA), het Russische vrijwilligerskorps, Legion Liberty en Hochuzhit “I Want to Live”, een hotline voor het ontvangen van beroepen van Russische dienstleden in Oekraïne om zich over te geven aan de Oekraïense strijdkrachten.
De phishing -pagina’s zijn georganiseerd op een kogelvrije hostingprovider, Nybula LLC, met de dreigingsactoren die vertrouwen op Google -formulieren en e -mailreacties om persoonlijke informatie te verzamelen, inclusief hun politieke opvattingen, slechte gewoonten en fysieke fitness, van slachtoffers.
“Alle waargenomen campagnes (…) hebben vergelijkbare eigenschappen gehad en deelden een gemeenschappelijke doelstelling: het verzamelen van persoonlijke informatie van sites-bezoekende slachtoffers,” zei Silent Push. “Deze phishing honeypots zijn waarschijnlijk het werk van Russische inlichtingendiensten of een dreigingsacteur die is afgestemd op Russische belangen.”
