APT-gruppen Armageddon identifierades som agerande mot Ukraina i slutet av förra året, och Symantecs egna data backar upp det som presenterats av Ukrainas säkerhetstjänst.
Säkerhetsforskare på Symantec har presenterat vad de sa är ytterligare bevis på att det ryska avancerade ihärdiga hot-hacking-teamet, känt som Shuckworm, aktivt har bedrivit en cyberspionagekampanj mot organisationer i Ukraina.
Enligt en rapport från The Security Service of Ukraine som släpptes i november 2021 är Shuckworm, även känd av Armageddon, Gamaredon, Primitive Bear och andra moniker, relativt ny i APT-världen. SSU tror att Shuckworm grundades 2013 eller 2014 och till en början drevs med en mycket låg profil. Trots sin relativa nyhet på scenen sa SSU att “gruppen kan förvandlas till ett cyberthot med konsekvenser, vars omfattning kommer att överstiga den negativa effekten av aktiviteterna i [known Russian APTs APT28, SNAKE and APT29].”
Måste läsa säkerhetstäckning
Symantec sa att dess resultat stämmer överens med SSU:s rapport, som sa att Shuckworm har blivit mer sofistikerad sedan 2017, vars slutresultat är en grupp med specialbyggd skadlig programvara för att infiltrera och legitima verktyg för att hålla sig uppkopplad.
Anatomi av en cyberspionageattack
Det finns en mängd olika metoder som APT:er använder för att etablera en permanent närvaro i offernätverk. I den särskilda fallstudien som Symantec inkluderade i sin rapport använde Shuckworm sannolikt en beprövad intrångsmetod: Phishing.
SER: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
Attacken började den 14 juli 2021 och fortsatte i över en månad, sa Symantec, och allt började med ett skadligt Word-dokument. “Bara fem minuter efter att dokumentet har öppnats körs också ett misstänkt kommando för att starta en skadlig VBS-fil”, sa Symantec. Den filen installerade i sin tur Pterodo-backdoor-mjukvaran som tidigare var länkad till Shuckworm.
Skapandet av Pterodo är vad SSU sa som skiljer Shuckworms tidiga dagar från dess farligare senare år. Innan skapandet av Pterodo förlitade sig Shuckworm på legitima fjärråtkomstverktyg som RMS och UltraVNC. Nu, genom användningen av Pterodo, kan Shuckworm kompromissa med system och behålla åtkomst eftersom den använder tekniker som lever utanför landet (med hjälp av tillgängliga, legitima verktyg på det infekterade systemet) för att flytta i sidled och stjäla referenser.
“Mellan 29 juli och 18 augusti fortsatte aktiviteten där vi observerade angriparna som distribuerade flera varianter av deras anpassade VBS-bakdörr tillsammans med att köra VBS-skript och skapa schemalagda uppgifter som liknar de som beskrivs ovan,” sa Symantec. Efter den 18 augusti, rapporterar det, har ingen ytterligare aktivitet upptäckts på den infekterade maskinen.
För dem som letar efter indikatorer på kompromiss sa Symantec att det finns sju självextraherande binära filer som det har märkts i de senaste Shuckworm-attackerna:
- descend.exe,
- deep-sunken.exe,
- z4z05jn4.egf.exe,
- defiant.exe,
- Och flera varianter av deep-green.exe.
“Nästan alla misstänkta skadliga filer består av ett ord som börjar med bokstaven ‘d’, och några är sammansatta av två ord separerade av ett ‘-‘ (första ordet börjar också med ‘d’)”, sa Symantec.
SSU sa i sin novemberrapport att Shuckworm har varit ansvarig för över 5 000 attacker, 1 500 av dem mot ukrainska regeringssystem, sedan 2014. Symantec sa, “den här aktiviteten visar små tecken på att avta.”
Hur man förhindrar nätfiskeattacker mot din organisation
Nätfiske och andra sociala ingenjörsattacker kan vara förödande om de lyckas. För att göra saken värre utvecklas nätfiskare ständigt och ändrar taktik för att passa den aktuella situationen, vilket bevisades under covid-19-pandemin.
SER: Google Chrome: Säkerhets- och användargränssnittstips du behöver veta (TechRepublic Premium)
Trots deras förmåga att förstöra organisationer kan nätfiskeattacker bekämpas genom installation av säkerhetsprogramvara som kan identifiera skadliga filer i e-post, lämplig utbildning i hur man identifierar nätfiske och implementera andra bästa metoder för nätfiske som skyddar dina system där användare kan misslyckas.
