А Mandiant и Cisco Talos поделились информацией о группировках, занимающихся кибершипионажем.
Образцы вредоносных программ были обнаружены Службой безопасности Украины во взломанных сетях украинских организаций. Все образцы были переданы Киберкомандованию США, которое выпустило 20 индикаторов компрометации в различных форматах.
Специалисты Mandiant сообщили о двух группировках:
UNC1151 , которая с начала спецоперации атаковала украинские и польские организации, рассылая фишинговые письма с кастомной версией MicroBackdoor, упакованной в ZIP-файл. Кроме стандартного набора функций (скачивание и выгрузка файлов, выполнение произвольных команд, самообновление), модификация позволяет хакерам делать скриншоты. MicroBackdoor поддерживает прокси на протоколах HTTP, Socks4 и Socks5, используемые для маршрутизации трафика.
UNC2589, которую связывают с разрушительной кибератакой на Украину в январе этого года. Эта группировка использует бэкдоры Grimplant и Graphsteel для атак на украинские организации. Кроме того, совсем недавно было обнаружено вредоносное фишинговое письмо с самораспаковывающимся архивом, устанавливающим арабскую версию программы Remote Utilities.
А эксперты Cisco Talos обнаружили модифицированную версию бэкдора GoMet, которая использовалась во вредоносной кампании, направленной на украинские организации и крупную фирму, занимающуюся разработкой программного обеспечения. По словам специалистов, вредонос распространяется под видом обновления для Windows и использует необычный метод для закрепления в системе жертвы. GoMet не создавал новую запись в редакторе реестра автозапуска, а заменил собой уже существующую программу. Бэкдор использует жестко закодированный IP-адрес C&C-сервера и взаимодействует с ним через HTTPS-порт.
Сертификат был выдан C&C-серверу еще 4 апреля 2021 года, поэтому специалисты Talos считают, что подготовка к этой вредоносной кампании началась еще в прошлом году.
Одно найти легче, чем другое. Спойлер: это не темная материя