Οι χάκερ που συνδέονται με τη Ρωσία, γνωστοί ως «Gamaredon» (γνωστός και ως Armageddon ή Shuckworm) εντοπίστηκαν να αναπτύσσουν οκτώ προσαρμοσμένα δυαδικά αρχεία σε επιχειρήσεις κυβερνοκατασκοπείας εναντίον ουκρανικών οντοτήτων.
Αυτή η ομάδα hacking πιστεύεται ότι λειτουργεί απευθείας από τη ρωσική FSB (Ομοσπονδιακή Υπηρεσία Ασφαλείας) και είναι υπεύθυνη για χιλιάδες επιθέσεις στην Ουκρανία από το 2013.
Ερευνητές της ομάδας Threat Hunter της Symantec, μέρος της Broadcom Software, ανέλυσαν οκτώ δείγματα κακόβουλου λογισμικού που χρησιμοποιήθηκαν από το Gamaredon εναντίον ουκρανικών στόχων σε πρόσφατες επιθέσεις, οι οποίες θα μπορούσαν να παρέχουν ουσιαστικές πληροφορίες στους υπερασπιστές για προστασία από τις συνεχιζόμενες επιθέσεις κυμάτων.
Αρχεία που χρησιμοποιήθηκαν σε πρόσφατες επιθέσεις στο Gamaredon
Σύμφωνα με την έκθεση της Symantec, οι επιθέσεις που παρακολουθούνται ξεκίνησαν τον Ιούλιο με τη διάδοση μηνυμάτων ηλεκτρονικού ψαρέματος (spear-phishing) που μετέφεραν έγγραφα Word με μακροεντολές.
Αυτά τα αρχεία κυκλοφόρησαν ένα αρχείο VBS που έριξε το “Pteranodon”, μια καλά τεκμηριωμένη κερκόπορτα που η Gamaredon αναπτύσσει και βελτιώνει σχεδόν επτά χρόνια τώρα.
Ωστόσο, ενώ οι πρόσφατες επιθέσεις εξακολουθούν να διεξάγονται με χρήση ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος, αυτές οι επιθέσεις τώρα ρίχνουν οκτώ διαφορετικά ωφέλιμα φορτία, όπως περιγράφεται παρακάτω.
Και τα οκτώ αρχεία που δειγματοληψία από τους αναλυτές της Symantec από πρόσφατες επιθέσεις στο Gamaredon είναι δυαδικά αυτοεξαγωγής 7-zip που ελαχιστοποιούν τις απαιτήσεις αλληλεπίδρασης χρήστη.