Microsoft avslöjar nya detaljer om den ryska hackergruppen Gamaredon

Ukrainas försvarsministerium, banker drabbade av cyberattacker


Den Rysslandsrelaterade hotaktören Gamaredon, som tros ha inlett en cyberattack mot en vÀsterlÀndsk regeringsorganisation i Ukraina förra mÄnaden, Àr en mycket smidig operation som ger ett starkt fokus pÄ att anvÀnda taktik för att undvika upptÀckt, enligt Microsofts sÀkerhetsforskare.

Gamaredons huvudmÄl verkar vara cyberspionage, sa forskare vid Microsoft Threat Intelligence Center (MSTIC) i ett blogginlÀgg idag.

Medan Gamaredon huvudsakligen har riktat sig mot ukrainska tjÀnstemÀn och organisationer tidigare, försökte gruppen den 19 januari en attack som syftade till att Àventyra en vÀsterlÀndsk regeringsenhet i Ukraina, rapporterade forskare vid Palo Alto Networks Unit 42-organisation pÄ torsdagen. Gamaredons ledarskap inkluderar fem ryska federala sÀkerhetstjÀnstemÀn, sade Ukrainas sÀkerhetstjÀnst tidigare.

Microsofts hotforskare slÀppte sina egna fynd om Gamaredon i blogginlÀgget idag och avslöjar att gruppen har varit aktivt involverad i skadlig cyberaktivitet i Ukraina sedan oktober 2021.

Medan hackergruppen har döpts till “Gamaredon” av Unit 42, hĂ€nvisar Microsoft till gruppen med namnet “Actinium”.

“Under de senaste sex mĂ„naderna har MSTIC observerat ACTINIUM som riktar sig mot organisationer i Ukraina som strĂ€cker sig över regering, militĂ€r, icke-statliga organisationer (NGO), rĂ€ttsvĂ€sende, brottsbekĂ€mpning och ideella organisationer, med den primĂ€ra avsikten att exfiltrera kĂ€nslig information, bibehĂ„lla Ă„tkomst, och att anvĂ€nda förvĂ€rvad tillgĂ„ng för att flytta lateralt in i relaterade organisationer”, sa hotforskarna i inlĂ€gget. “MSTIC har observerat ACTINIUM operera frĂ„n Krim med mĂ„l förenliga med cyberspionage.”

Undviker upptÀckt

Taktik som anvĂ€nds ofta av gruppen inkluderar spjutfiske-e-postmeddelanden med skadliga makrobilagor, vilket resulterar i distribution av fjĂ€rrmallar, sa forskarna. Genom att fĂ„ ett dokument att ladda en fjĂ€rrdokumentmall med skadlig kod – makron – sĂ€kerstĂ€ller detta att skadligt innehĂ„ll bara laddas nĂ€r det krĂ€vs (till exempel nĂ€r anvĂ€ndaren öppnar dokumentet)”, sa Microsoft.

“Detta hjĂ€lper angripare att undvika statiska upptĂ€ckter, till exempel genom system som söker igenom bilagor efter skadligt innehĂ„ll”, sa forskarna. “Att ha det skadliga makrot pĂ„ distans gör det ocksĂ„ möjligt för en angripare att kontrollera nĂ€r och hur den skadliga komponenten levereras, vilket ytterligare undviker upptĂ€ckt genom att förhindra automatiska system frĂ„n att erhĂ„lla och analysera den skadliga komponenten.”

Microsofts forskare rapporterar att de har observerat ett flertal nĂ€tfiskebeten för e-post som anvĂ€nds av Gamaredon, inklusive de som utger sig för att vara legitima organisationer, “med hjĂ€lp av godartade bilagor för att skapa förtroende och förtrogenhet med mĂ„let.”

NĂ€r det gĂ€ller skadlig programvara anvĂ€nder Gamaredon en mĂ€ngd olika stammar – den mest “funktionsrika” av dessa Ă€r Pterodo, enligt Microsoft. Pterodo skadliga programfamiljen ger en “förmĂ„ga att undvika upptĂ€ckt och omintetgöra analys” genom anvĂ€ndning av en “dynamisk Windows-funktions-hash-algoritm för att kartlĂ€gga nödvĂ€ndiga API-komponenter, och ett “on-demand”-schema för att dekryptera nödvĂ€ndig data och frigöra tilldelat heaputrymme nĂ€r anvĂ€nds”, sa forskarna.

Samtidigt Ă€r PowerPunch skadlig kod som anvĂ€nds av gruppen “en smidig och utvecklande sekvens av skadlig kod”, sa Microsoft. Andra skadliga programfamiljer som anvĂ€nds av Gamaredon inkluderar ObfuMerry, ObfuBerry, DilongTrash, DinoTrain och DesertDown.

“Mycket smidigt hot”

Gamaredon “utvecklar snabbt nya fördunklade och lĂ€tta funktioner för att distribuera mer avancerad skadlig programvara senare”, sa Microsofts forskare. “Detta Ă€r snabbrörliga mĂ„l med en hög grad av varians.”

Nyttolaster som analyserats av forskarna visar en stor tonvikt pĂ„ obfuscated VBScript (Visual Basic Script), ett Microsoft-skriptsprĂ„k. “Som en attack Ă€r detta inte ett nytt tillvĂ€gagĂ„ngssĂ€tt, men det fortsĂ€tter att visa sig framgĂ„ngsrikt eftersom antiviruslösningar konsekvent mĂ„ste anpassa sig för att hĂ„lla jĂ€mna steg med ett mycket smidigt hot,” sa forskarna.

Enhet 42 hade i torsdags rapporterat att Gamaredons försök till attack mot en vÀsterlÀndsk regeringsorganisation i januari involverade ett riktat nÀtfiskeförsök.

IstĂ€llet för att e-posta nedladdningsprogrammet för skadlig programvara till sitt mĂ„l, “utnyttjade Gamaredon en jobbsökning och arbetsförmedling i Ukraina”, sa Unit 42-forskarna. “PĂ„ detta sĂ€tt sökte skĂ„despelarna efter en aktiv platsannons, laddade upp sin nedladdare som ett CV och skickade in det via jobbsökningsplattformen till en vĂ€sterlĂ€ndsk regeringsenhet.”

PĂ„ grund av de “steg och precisionsleveranser som Ă€r involverade i den hĂ€r kampanjen verkar det ha varit ett specifikt, medvetet försök frĂ„n Gamaredon att kompromissa med denna vĂ€sterlĂ€ndska regeringsorganisation”, sa enhet 42 i sitt inlĂ€gg.

Enhet 42 har sagt att den inte identifierar eller ytterligare beskriver den vÀsterlÀndska regeringsenhet som var mÄltavla av Gamaredon.

Ingen koppling till “WhisperGate”-attacker

Försöket till attacken den 19 januari av Gamaredon kom mindre Ă€n en vecka efter att mer Ă€n 70 ukrainska myndigheters webbplatser riktades mot den nya “WhisperGate”-familjen av skadlig programvara.

Den hotaktör som Ă€r ansvarig för dessa attacker verkar dock vara skild frĂ„n Gamaredon, sa Microsofts forskare i inlĂ€gget idag. Microsoft Threat Intelligence Center “har inte hittat nĂ„gra indikatorer som korrelerar dessa tvĂ„ aktörer eller deras verksamhet”, sa forskarna.

US Department of Homeland Security (DHS) föreslog förra mÄnaden att det Àr möjligt att Ryssland kan se en cyberattack mot USA:s infrastruktur, mitt i spÀnningarna mellan lÀnderna kring Ukraina.

Uppskattningar tyder pĂ„ att Ryssland har stationerat mer Ă€n 100 000 soldater vid Ukrainas östra grĂ€ns. PĂ„ onsdagen godkĂ€nde USA:s president Joe Biden att ytterligare 3 000 amerikanska soldater skickas till Östeuropa.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.