Het Computer Emergency Response Team van Oekraïne (CERT-UA) heeft gewaarschuwd voor cyberaanvallen gericht op defensietroepen in het land met malware genaamd SPECTR als onderdeel van een spionagecampagne genaamd SickSync.
De dienst schreef de aanvallen toe aan een bedreigingsacteur die het volgt onder de naam UAC-0020, ook wel Vermin genoemd en wordt geacht geassocieerd te zijn met veiligheidsagentschappen van de Volksrepubliek Loehansk (LPR). LPR werd door Rusland enkele dagen voorafgaand aan de militaire invasie van Oekraïne in februari 2022 tot soevereine staat verklaard.
Aanvalsketens beginnen met spear-phishing-e-mails die een RAR-zelfuitpakkend archiefbestand bevatten met daarin een lok-PDF-bestand, een getrojaniseerde versie van de SyncThing-applicatie die de SPECTR-payload bevat, en een batchscript dat de infectie activeert door het uitvoerbare bestand te starten.
SPECTR fungeert als informatiedief door elke 10 seconden schermafbeeldingen te maken, bestanden te verzamelen, gegevens te verzamelen van verwisselbare USB-drives en inloggegevens te stelen van webbrowsers en applicaties zoals Element, Signal, Skype en Telegram.
“Tegelijkertijd werd voor het uploaden van gestolen documenten, bestanden, wachtwoorden en andere informatie van de computer gebruik gemaakt van de standaard synchronisatiefunctionaliteit van de legitieme SyncThing-software, die onder meer het opzetten van een peer-to-peer-verbinding ondersteunt. tussen computers”, aldus CERT-UA.
SickSync markeert de terugkeer van de Vermin-groep na een langdurige afwezigheid, die eerder werd waargenomen bij het orkestreren van phishing-campagnes gericht op staatsorganen van Oekraïne om de SPECTR-malware in maart 2022 in te zetten. Het is bekend dat SPECTR sinds 2019 door de acteur wordt gebruikt.
Vermin is ook de naam die is toegewezen aan een .NET trojan voor externe toegang die al bijna acht jaar wordt gebruikt om verschillende Oekraïense overheidsinstellingen aan te vallen. Het werd voor het eerst publiekelijk gerapporteerd door Palo Alto Networks Unit 42 in januari 2018, met een daaropvolgende analyse van ESET waarbij de activiteit van de aanvaller terugging tot oktober 2015.
De onthulling komt nadat CERT-UA waarschuwde voor social engineering-aanvallen waarbij de Instant Messaging-app Signal wordt gebruikt als distributievector om een trojan voor externe toegang te leveren, genaamd DarkCrystal RAT (ook bekend als DCRat). Ze zijn gekoppeld aan een activiteitencluster met de codenaam UAC-0200.
“We constateren opnieuw een trend in de richting van een toename van de intensiteit van cyberaanvallen waarbij gebruik wordt gemaakt van boodschappers en legitieme gecompromitteerde accounts”, aldus het agentschap. “Tegelijkertijd wordt het slachtoffer op de een of andere manier aangemoedigd om het bestand op de computer te openen.”
Het volgt ook op de ontdekking van een malwarecampagne uitgevoerd door Wit-Russische, door de staat gesponsorde hackers, bekend als GhostWriter (ook bekend als UAC-0057 en UNC1151), die gebruik maakt van boobytraps Microsoft Excel-documenten bij aanvallen gericht op het Oekraïense ministerie van Defensie.
“Bij de uitvoering van het Excel-document, dat een ingebedde VBA-macro bevat, worden er een LNK- en een DLL-laadbestand neergezet”, aldus Symantec, eigendom van Broadcom. “Vervolgens initieert het uitvoeren van het LNK-bestand de DLL-lader, wat mogelijk kan leiden tot een vermoedelijke uiteindelijke payload, waaronder AgentTesla, Cobalt Strike-bakens en njRAT.”
