Ρώσοι μυστικοί χάκερ της Blizzard εκμεταλλεύονται κακόβουλο λογισμικό για να στοχεύσουν τις ουκρανικές δυνάμεις

Ο Ρώσος έθνος-κράτος ηθοποιός Secret Blizzard έχει εντατικοποιήθηκε τις προσπάθειές της για κυβερνοκατασκοπεία εναντίον ουκρανικών στρατιωτικών πόρων κατά τη διάρκεια του 2024. Συνδεδεμένη με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), η ομάδα έχει ουσιαστικά χρησιμοποιήσει υποδομές και εργαλεία από διάφορους φορείς στον κυβερνοχώρο. Οι βασικές τεχνικές περιλαμβάνουν την ανάπτυξη εξελιγμένου προσαρμοσμένου κακόβουλου λογισμικού, τη διεξαγωγή στρατηγικών επιθέσεων και το spear phishing.

Το Secret Blizzard στοχεύει τον στρατό της Ουκρανίας χρησιμοποιώντας προσαρμοσμένο κακόβουλο λογισμικό

Η στρατηγική της Secret Blizzard επικεντρώνεται στην εκμετάλλευση υποδομών που συνδέονται με άλλους παράγοντες, όπως το Storm-1919 και το Storm-1837. Αυτή η μέθοδος βελτιώνει την πρόσβαση σε συγκεκριμένους στόχους, ιδιαίτερα σε στρατιωτικό προσωπικό και συσκευές. Καταφέρνοντας να διαφοροποιήσουν τους φορείς επίθεσης, μπορούν να διεισδύσουν σε κρίσιμα συστήματα πιο αποτελεσματικά.

Ο οργανισμός χρησιμοποιεί πολλά διαφορετικά εργαλεία κακόβουλου λογισμικού, συμπεριλαμβανομένων των ωφέλιμων φορτίων Tavdig backdoor και KazuarV2. Αυτά τα εργαλεία έχουν σχεδιαστεί για να διατηρούν σταθερή πρόσβαση και να συλλέγουν πληροφορίες. Η κερκόπορτα Tavdig έχει αναπτυχθεί ιδιαίτερα σε περιβάλλοντα υψηλού κινδύνου που σχετίζονται με τις επιχειρήσεις πρώτης γραμμής του ουκρανικού στρατού.

Ευφυώς, η Secret Blizzard χρησιμοποίησε το bot Amadey τον Μάρτιο και τον Απρίλιο του 2024 για να διανείμει τις κερκόπορτες Tavdig. Το bot Amadey, που χρησιμοποιείται συνήθως για την εξόρυξη κρυπτογράφησης, επέτρεψε στην ομάδα να αποκτήσει βάση στις συσκευές-στόχους. Αυτή η επανάληψη, η έκδοση 4.18, διέθετε αναγνωριστικές δυνατότητες που περιελάμβαναν τη συλλογή πληροφοριών συσκευής και τη συλλογή διαπιστευτηρίων μέσω διαφόρων προσθηκών.

Η Secret Blizzard ανέπτυξε περαιτέρω ένα προσαρμοσμένο εργαλείο αναγνώρισης που στοχεύει σε συσκευές που προέρχονται από διευθύνσεις IP STARLINK. Αυτό το εργαλείο συνέλεξε κρίσιμα δεδομένα, συμπεριλαμβανομένων των διαμορφώσεων συστήματος και των καταλόγων. Η μετάδοση δεδομένων πραγματοποιήθηκε μέσω πρωτοκόλλων κρυπτογράφησης RC4 σε διακομιστή εντολών και ελέγχου (C2).

Ο Όμιλος Lazarus στοχεύει το macOS με κακόβουλο λογισμικό RustyAttr trojan

Το ωφέλιμο φορτίο KazuarV2 που χρησιμοποιούσε η Secret Blizzard εγχύθηκε συχνά σε αξιόπιστες διαδικασίες για να διασφαλιστεί η μυστικότητα. Αναπτύσσοντας τεχνικές παράπλευρης φόρτωσης DLL, παρέκαμψε με επιτυχία τα μέτρα ανίχνευσης που είχαν τεθεί σε εφαρμογή από τα θύματα. Ομοίως, η κερκόπορτα Storm-1837, που παρουσιάστηκε τον Δεκέμβριο του 2023, επέτρεψε στην ομάδα να αποκτήσει συνεχή πρόσβαση στις συσκευές χειριστών ουκρανικών drones.

Η ανάπτυξη περιελάμβανε τη χρήση του Telegram API για διαπιστευμένες συνδέσεις πλατφόρμας κοινής χρήσης αρχείων, επιτρέποντας την εγκατάσταση περαιτέρω κακόβουλων ωφέλιμων φορτίων από απόσταση.

Υπό το φως αυτών των περίπλοκων επιθέσεων, οι οργανώσεις καλούνται να ενισχύσουν την άμυνά τους. Οι συστάσεις περιλαμβάνουν την ενίσχυση της ασφάλειας τελικού σημείου μέσω της προστασίας από παραβιάσεις του Microsoft Defender και των δυνατοτήτων σε πραγματικό χρόνο. Αυτό θα πρέπει να συμπληρωθεί με την εφαρμογή προστασίας δικτύου, συμπεριλαμβανομένης της παρακολούθησης των δραστηριοτήτων του PowerShell και του περιορισμού των μη εξουσιοδοτημένων σεναρίων.

Για την παρακολούθηση για δείκτες συμβιβασμού (IOC), είναι απαραίτητη η παρακολούθηση συγκεκριμένων τομέων όπως το citactica.com και το icw2016.coachfederation.cz. Η τακτική αναζήτηση για ύποπτη δραστηριότητα του PowerShell θα πρέπει επίσης να αποτελεί μέρος ενός προληπτικού αμυντικού μηχανισμού.

Πίστωση επιλεγμένης εικόνας: Philipp Katzenberger/Unsplash