Gamaredon kampány
A Symantec jelentése szerint a Gamaredon a háború hatodik hónapjában is Ukrán szervezetek támad. A legutóbbi fertőzés hullám július végén augusztus elején olyan adathalász üzenetekkel indult, amelyek mellékleteként 7-zip tömörített állományokat tartalmaztak, amely XML-fájlt tölt le xsph.ru domainről, amit 2022 májusa óta a Gamaredonhoz kötnek.
Az XML-fájl egy PowerShell információlopó kódhoz vezet, amelynek a Symantec több módosított változatát is észlelte. Az orosz hackerek a Pterodo és a Giddome hátsó ajtókat (back door) használták az támadások során. Ezek a hátsó ajtók lehetővé teszik, hogy hangot rögzítsenek az eszköz mikrofonjával, képernyőképeket készítsenek az asztalról, naplózzák a billentyűleütéseket és egyéb .exe és .dll fájlokat töltsenek le.
A legutóbbi kampányban megfigyelték a hackerek legális távoli asztali protokoll eszközeit, az Ammyy Admin és az “AnyDesk” telepítését.
Az Ukrán Eseménykezelő Központ (CERT-UA) szintén beszámolt a Gamaredon legutóbbi tevékenységéről, miután egy új adathalász kampányt észlelt, amely a feltört e-mail fiókokból küldött HTM-mellékleteket használ. A CERT-UA fertőzési láncra vonatkozó megfigyelései olyan PowerShell-információlopókról is beszámolnak, amelyek megpróbálják ellopni a webböngészőkben tárolt adatokat.