Группировка проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года.
Специалисты ИБ-компании Symantec сообщили об атаках киберпреступной группировки Shuckworm (Armageddon или Gamaredon) на украинские организации с использованием нового варианта кастомного бэкдора Pteredo (Pteranodon).
Группировка, связываемая специалистами с Россией, проводит операции по кибершпионажу в отношении украинских правительственных организаций как минимум с 2014 года. По подсчетам специалистов, она осуществила более 5 тыс. кибератак на 1,5 тыс. общественных и частных предприятий в стране.
Pteredo берет свое начало на хакерских форумах, где в 2016 году его приобрела группировка Shuckworm. Хакеры стали активно разрабатывать бэкдор, добавляя в него DLL- модули для похищения данных, удаленного доступа и анализа проникновения.
Помимо Pteredo в недавних атаках Shuckworm также использовала инструмент для удаленного доступа UltraVNC и Microsoft Process Explorer для обработки процессов DLL-модулей.
Если сравнить атаки Shuckworm на украинские организации с января 2022 года, то можно прийти к выводу, что группировка практически не изменила свои тактики. В предыдущих атаках варианты Pteredo загружались на атакуемые системы с помощью файлов VBS, спрятанных внутри документа, прилагающегося к фишинговому письму. Файлы 7-Zip разархивируются автоматически, что минимизирует взаимодействие с пользователем (эти же файлы использовались и в январских атаках).
Хотя Shuckworm является высокопрофессиональной группировкой, ее инструментарий и тактики заражения не усовершенствовались за последние несколько месяцев, что облегчило ее обнаружение и упростило методы защиты.
В настоящее время Pteredo все еще активно разрабатывается, а значит, хакеры могут работать над более продвинутой, мощной и не поддающейся детектированию версией бэкдора, а также модифицировать свою цепочку атаки.
Спойлер: мы раскрываем их любимые трюки