A Mandiant figyelmeztetett, és igaza lett

2022. április 8., 11:42

Az ukrán CERT-UA egy olyan spear-phishing kampányt detektált, amelyet az Oroszországhoz kötődő Armageddon nevű APT csoport folytatott helyi, ukrán állami szervezetek ellen. Az eshetőségről a Mandiant pár nappal korábban már beszámolt a Mandiant Threat Intelligence nevű platformján is.

A Mandiant is beszámolt arról, hogy az ukrán CERT-UA egy tájékoztatót tett közzé, amelyben az Oroszországhoz kötődő Armageddon APT csoport (más néven Gamaredon, Primitive Bear, Armageddon, Winterflounder vagy Iron Tilden) által végrehajtott, helyi állami szervezeteket célzó spear-phishing támadásokra figyelmeztet. Az adathalász üzeneteket a “vadim_melnik88@i[.]ua” címről küldték, a kampány célja a célrendszerek rosszindulatú szoftverekkel való megfertőzése.

Az ukrán kormányzati szerveknek küldött e-mailek tárgymezőjében “Az Orosz Föderáció háborús bűnözőiről szóló információk” mondat szerepel, amit a bűnözők kvázi csaliként használnak. Az üzenetek csatolmányként az “Az Orosz Föderáció háborús bűnösei.htm” nevű HTML-fájlt használják. A fájl megnyitásakor egy “Viyskovi_zlochinci_RU.rar” nevű RAR-archívum jön létre. A RAR-archívum egy “War criminals destroying Ukraine (home addresses, photos, phone numbers, pages on social networks).lnk” nevű linkfájlt tartalmaz, amit ha a címzettek megnyitnak, akkor egy VBScript-kódot is magában foglaló HTA-fájlt tartalmazó rosszindulatú kód töltődik le. A letöltés után a VBScript-kód futtatja a “get.php” PowerShell szkriptet, amely kiszámítja a fertőzött számítógép egyedi azonosítóját.

A Mandiant úgy véli, hogy a TEMP.Armageddon egy Oroszországhoz kötődő kiberbűnözői kollektíva, amely elsősorban ukrán kormányzati, rendvédelmi és katonai szervezeteket vesz célba. A csoportot 2015-ben fedezték fel, de a tevékenységére utaló bizonyítékokat már 2013-ra datálják. Többek között 2019 decemberében a TEMP.Armageddon számlájára írják azt a kibertámadást, amelyben több ukrán diplomata, kormányzati és katonai tisztviselő, valamint bűnüldöző szervek voltak érintettek. A jelenlegi incidensekkel és kampánnyal kapcsolatosan a Mandiant 2022. április 4-én készített egy beszámolót, melyben már akkor valószínűsítette egy olyan, TEMP.Armageddonhoz kapcsolódó adathalászkampány megvalósulását, ami ukrán szervezeteket fog megcélozni “orosz háborús bűnösökre” hivatkozó felütéssel. Az akkori Mandiant tájékoztatóban leírtak kísértetiesen hasonlítanak a CERT-UA által vázolt kampányhoz: a hacker csoport gyakorlatilag azt a taktikát alkalmazta, amelyre a Mandiant előre felhívta a figyelmet.

Az orosz-ukrán konfliktus időtartama alatt arra lehet számítani, hogy a TEMP.Armageddon és más, Oroszországhoz kötődő szereplők – a különféle phishing kampányaik során -továbbra is a helyszínen kialakuló helyzethez kapcsolódó tartalmakat fognak használni, és a pszichológiai manipuláció minden skáláját bevetik a cél érdekében.