Shuckworm kampány
A Shuckworm csoport továbbra is számos kibertámadást hajt végre Ukrajna ellen, a közelmúltban biztonsági szolgálatok, katonai és kormányzati szervezetek is célpontjai voltak. A Symantec fenyegetésekkel foglalkozó kutatócsoportja, amely a Broadcom része, arról számolt be, hogy a fenyegetés szereplői a közelmúltban elkezdtek USB eszközökkel terjedő kártékony kódokat használni a fertőzött hálózatokon belüli további rendszerekre.
Egyes esetekben a Shuckwormnak sikerült hosszan, akár három hónapig tartójelenlétet is elérni egyes hálózatokon. A támadók ismételten megpróbáltak hozzáférni és ellopni olyan érzékeny információkat, mint például az ukrán katonai szolgálat tagjai haláláról szóló jelentések, ellenséges harcok és légicsapások, eszközkészletek, katonai kiképzés stb.
Annak érdekében, hogy az észlelés elől rejtve maradjon, a Shuckworm többször frissítette eszközkészletét, az ismert eszközök és a rövid élettartamú infrastruktúra új verzióit vezette be, valamint olyan új kiegészítéseket, mint például az USB-n terjedő kártevők.
A Shuckworm (Gamaredon, Armageddon) egy Oroszországhoz köthető csoport, amely 2014-es megjelenése óta szinte kizárólag Ukrajnára összpontosítja tevékenységét. Ukrán tisztviselők nyilvánosan kijelentették, hogy a csoport az Orosz Szövetségi Biztonsági Szolgálat (FSB) hátterében működik.
A Gamaredon legújabb kampányának egy másik érdekes eleme a HR osztályok kihasználása. A Symantec elemzői szerint a Gamaredon 2023-as aktivitása 2023 februárja és márciusa között megugrott, miközben a hackerek 2023 májusáig jelen voltak néhány kompromittált gépen. A Gamaredon továbbra is az adathalász e-maileket használja a kezdeti vektorként, célpontjai között szerepel a kormányzat, a hadsereg, a biztonsági és a kutatási szervezetek is, kiemelten a személyügyi részlegekre összpontosítva.
A Symantec 2023 januárja és áprilisa között a PowerShell-szkriptek 25 változatából vett mintát, amik különböző szintű obfuszkációs módszereket és különböző Pterodo letöltési IP-címekre használtak, hogy megnehezítsék a statikus észlelési szabályok használatát. A Symantec szerint egyes eszközöket azután fertőzték meg, hogy egy fertőzött USB-kulcsot csatlakoztattak hozzájuk. Az azonban nem világos, hogy az USB-meghajtó hogyan fertőződött meg. Ezeket az USB-meghajtókat a támadók valószínűleg az áldozathálózatok közötti oldalirányú mozgáshoz használják, és segíthetik a támadókat elérni a megcélzott szervezetek légréses (airgapped) gépeit – figyelmeztetett a Symantec.