Η ομάδα Gamaredon επιτίθεται σε στρατιωτική αποστολή με κακόβουλο drive
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα Gamaredon επιτίθεται σε στρατιωτική αποστολή με κακόβουλο drive
https://www.secnews.gr/646009/omada-gamaredon-epitithentai-stratiotiki-apostoli-kakovoulo-drive/
Apr 11th 2025, 11:02
by Absenta Mia
Η ρωσική ομάδα χάκερ που υποστηρίζεται από το κράτος, γνωστή ως Gamaredon (ή "Shuckworm"), έχει στοχοποιήσει μια στρατιωτική αποστολή στην Ουκρανία, με επιθέσεις που πιθανόν να έχουν εκτελεστεί μέσω αφαιρούμενων drive.
Δείτε επίσης: Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
Οι ερευνητές απειλών της Symantec αναφέρουν ότι η εκστρατεία ξεκίνησε τον Φεβρουάριο του 2025 και συνεχίστηκε μέχρι τον Μάρτιο, με τους χάκερ να χρησιμοποιούν μια ενημερωμένη έκδοση του κακόβουλου λογισμικού GammaSteel για την εξαγωγή δεδομένων.
Σύμφωνα με την αναφορά, η αρχική πρόσβαση στα μολυσμένα συστήματα πιθανόν να επιτεύχθηκε μέσω αφαιρούμενων δίσκων που περιείχαν κακόβουλα αρχεία .LNK, μια μέθοδο που έχει χρησιμοποιήσει στο παρελθόν η Gamaredon.
Οι ερευνητές παρατηρούν μια αλλαγή στις τακτικές της ομάδας, συμπεριλαμβανομένης της μετάβασης από σενάρια VBS σε εργαλεία βασισμένα σε PowerShell, περισσότερη απόκρυψη για τα payloads και αυξημένη χρήση νόμιμων υπηρεσιών για αποφυγή ανίχνευσης.
Κατά τη διάρκεια της έρευνας, οι ερευνητές παρατήρησαν στο Μητρώο των Windows του παραβιασμένου συστήματος μια νέα τιμή κάτω από το κλειδί UserAssist, που υποδεικνύει ότι η μόλυνση ξεκίνησε από μια εξωτερική μονάδα δίσκου μέσω ενός αρχείου συντόμευσης με το όνομα files.lnk.
Στη συνέχεια, ένα κωδικοποιημένο σενάριο δημιουργεί και εκτελεί δύο αρχεία. Το πρώτο διαχειρίζεται τις επικοινωνίες εντολών και ελέγχου (C2), επιλύοντας τη διεύθυνση του διακομιστή μέσω νόμιμων υπηρεσιών και συνδέεται με URLs που προστατεύονται από την Cloudflare.
Δείτε ακόμα: Η Sandworm στοχεύει χρήστες Windows στην Ουκρανία
Το δεύτερο αρχείο διαχειρίζεται τον μηχανισμό εξάπλωσης για να μολύνει άλλες αφαιρούμενες και δικτυακές μονάδες drive χρησιμοποιώντας αρχεία LNK, ενώ ταυτόχρονα κρύβει ορισμένους φακέλους και συστηματικά αρχεία για να αποκρύψει την παραβίαση.
Στη συνέχεια, η Gamaredon χρησιμοποίησε ένα σενάριο PowerShell αναγνώρισης που έχει τη δυνατότητα να καταγράφει και να εξάγει στιγμιότυπα της μολυσμένης συσκευής, καθώς και να συλλέγει πληροφορίες σχετικά με τα εγκατεστημένα antivirus, τα αρχεία και τις διαδικασίες που εκτελούνται.
Η τελική επιβάρυνση που παρατηρήθηκε στις επιθέσεις είναι μια έκδοση του GammaSteel βασισμένη σε PowerShell, η οποία αποθηκεύεται στο Μητρώο των Windows.
Το κακόβουλο λογισμικό μπορεί να κλέψει έγγραφα (.DOC, .PDF, .XLS, .TXT) από διάφορες τοποθεσίες όπως η Επιφάνεια Εργασίας, τα Έγγραφα και οι Λήψεις, επιβεβαιώνοντας το συνεχιζόμενο ενδιαφέρον της Gamaredon για κατασκοπεία.
Τελικά, το κακόβουλο λογισμικό χρησιμοποιεί το 'certutil.exe' για να δημιουργήσει κατακερματισμούς των αρχείων και τα εξάγει μέσω αιτημάτων web PowerShell. Εάν η εξαγωγή αποτύχει, η Gamaredon χρησιμοποιεί cURL μέσω Tor για να μεταφέρει τα κλεμμένα δεδομένα.
Τέλος, προστίθεται ένα νέο κλειδί στο 'HKCU\Software\Microsoft\Windows\CurrentVersion\Run' για να διασφαλιστεί η επιμονή στην στοχοθετημένη υπολογιστική συσκευή.
Δείτε επίσης: Ρώσοι χάκερ χρησιμοποιούν διακομιστές Πακιστανών χάκερ για επιθέσεις
Οι "Ρώσοι χάκερ" (ή Russian hackers) είναι ένας ευρύς όρος που χρησιμοποιείται συχνά στα μέσα ενημέρωσης και στις αναλύσεις κυβερνοασφάλειας για να περιγράψει άτομα ή ομάδες που προέρχονται ή συνδέονται με τη Ρωσία και συμμετέχουν σε δραστηριότητες hacking. Αυτές μπορεί να κυμαίνονται από κυβερνοκατασκοπεία μέχρι κυβερνοεπιθέσεις εναντίον κρατών, οργανισμών ή ακόμα και ιδιωτών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η ομάδα Gamaredon επιτίθεται σε στρατιωτική αποστολή με κακόβουλο drive
https://www.secnews.gr/646009/omada-gamaredon-epitithentai-stratiotiki-apostoli-kakovoulo-drive/
Apr 11th 2025, 11:02
by Absenta Mia
Η ρωσική ομάδα χάκερ που υποστηρίζεται από το κράτος, γνωστή ως Gamaredon (ή "Shuckworm"), έχει στοχοποιήσει μια στρατιωτική αποστολή στην Ουκρανία, με επιθέσεις που πιθανόν να έχουν εκτελεστεί μέσω αφαιρούμενων drive.
Δείτε επίσης: Ρώσοι χάκερ αναπτύσσουν τα backdoor SilentPrism και DarkWisp
Οι ερευνητές απειλών της Symantec αναφέρουν ότι η εκστρατεία ξεκίνησε τον Φεβρουάριο του 2025 και συνεχίστηκε μέχρι τον Μάρτιο, με τους χάκερ να χρησιμοποιούν μια ενημερωμένη έκδοση του κακόβουλου λογισμικού GammaSteel για την εξαγωγή δεδομένων.
Σύμφωνα με την αναφορά, η αρχική πρόσβαση στα μολυσμένα συστήματα πιθανόν να επιτεύχθηκε μέσω αφαιρούμενων δίσκων που περιείχαν κακόβουλα αρχεία .LNK, μια μέθοδο που έχει χρησιμοποιήσει στο παρελθόν η Gamaredon.
Οι ερευνητές παρατηρούν μια αλλαγή στις τακτικές της ομάδας, συμπεριλαμβανομένης της μετάβασης από σενάρια VBS σε εργαλεία βασισμένα σε PowerShell, περισσότερη απόκρυψη για τα payloads και αυξημένη χρήση νόμιμων υπηρεσιών για αποφυγή ανίχνευσης.
Κατά τη διάρκεια της έρευνας, οι ερευνητές παρατήρησαν στο Μητρώο των Windows του παραβιασμένου συστήματος μια νέα τιμή κάτω από το κλειδί UserAssist, που υποδεικνύει ότι η μόλυνση ξεκίνησε από μια εξωτερική μονάδα δίσκου μέσω ενός αρχείου συντόμευσης με το όνομα files.lnk.
Στη συνέχεια, ένα κωδικοποιημένο σενάριο δημιουργεί και εκτελεί δύο αρχεία. Το πρώτο διαχειρίζεται τις επικοινωνίες εντολών και ελέγχου (C2), επιλύοντας τη διεύθυνση του διακομιστή μέσω νόμιμων υπηρεσιών και συνδέεται με URLs που προστατεύονται από την Cloudflare.
Δείτε ακόμα: Η Sandworm στοχεύει χρήστες Windows στην Ουκρανία
Το δεύτερο αρχείο διαχειρίζεται τον μηχανισμό εξάπλωσης για να μολύνει άλλες αφαιρούμενες και δικτυακές μονάδες drive χρησιμοποιώντας αρχεία LNK, ενώ ταυτόχρονα κρύβει ορισμένους φακέλους και συστηματικά αρχεία για να αποκρύψει την παραβίαση.
Στη συνέχεια, η Gamaredon χρησιμοποίησε ένα σενάριο PowerShell αναγνώρισης που έχει τη δυνατότητα να καταγράφει και να εξάγει στιγμιότυπα της μολυσμένης συσκευής, καθώς και να συλλέγει πληροφορίες σχετικά με τα εγκατεστημένα antivirus, τα αρχεία και τις διαδικασίες που εκτελούνται.
Η τελική επιβάρυνση που παρατηρήθηκε στις επιθέσεις είναι μια έκδοση του GammaSteel βασισμένη σε PowerShell, η οποία αποθηκεύεται στο Μητρώο των Windows.
Το κακόβουλο λογισμικό μπορεί να κλέψει έγγραφα (.DOC, .PDF, .XLS, .TXT) από διάφορες τοποθεσίες όπως η Επιφάνεια Εργασίας, τα Έγγραφα και οι Λήψεις, επιβεβαιώνοντας το συνεχιζόμενο ενδιαφέρον της Gamaredon για κατασκοπεία.
Τελικά, το κακόβουλο λογισμικό χρησιμοποιεί το 'certutil.exe' για να δημιουργήσει κατακερματισμούς των αρχείων και τα εξάγει μέσω αιτημάτων web PowerShell. Εάν η εξαγωγή αποτύχει, η Gamaredon χρησιμοποιεί cURL μέσω Tor για να μεταφέρει τα κλεμμένα δεδομένα.
Τέλος, προστίθεται ένα νέο κλειδί στο 'HKCU\Software\Microsoft\Windows\CurrentVersion\Run' για να διασφαλιστεί η επιμονή στην στοχοθετημένη υπολογιστική συσκευή.
Δείτε επίσης: Ρώσοι χάκερ χρησιμοποιούν διακομιστές Πακιστανών χάκερ για επιθέσεις
Οι "Ρώσοι χάκερ" (ή Russian hackers) είναι ένας ευρύς όρος που χρησιμοποιείται συχνά στα μέσα ενημέρωσης και στις αναλύσεις κυβερνοασφάλειας για να περιγράψει άτομα ή ομάδες που προέρχονται ή συνδέονται με τη Ρωσία και συμμετέχουν σε δραστηριότητες hacking. Αυτές μπορεί να κυμαίνονται από κυβερνοκατασκοπεία μέχρι κυβερνοεπιθέσεις εναντίον κρατών, οργανισμών ή ακόμα και ιδιωτών.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια