Gamaredon: attacco phishing contro il governo ucraino

Gamaredon: attacco phishing contro il governo ucraino

Il gruppo russo Gamaredon ha effettuato un attacco phishing contro il governo ucraino con l'obiettivo di rubare documenti riservati.
Il gruppo russo Gamaredon ha effettuato un attacco phishing contro il governo ucraino con l'obiettivo di rubare documenti riservati.

La guerra sul campo è (purtroppo) ancora in corso dopo quasi sette mesi, ma continua anche la cyberwar contro il governo ucraino. Gli esperti di Cisco Talos hanno scoperto una nuova campagna di phishing avviata dal gruppo di cybercriminali russi Gamaredon con l’obiettivo di rubare informazioni sensibili. È parte di una vasta operazione di spionaggio avviata nel mese di agosto.

Phishing e info-stealer contro l’Ucraina

La catena di infezione inizia con documenti Office distribuiti via email (spear phishing). All’apertura del documento viene eseguita una macro VBS che scarica un archivio RAR, all’interno del quale c’è solo un file LNK. Cliccando sul file viene scaricato uno script PowerShell che raccoglie varie informazioni sul computer della vittima, successivamente inviate al server remoto.

Viene quindi installato un info-stealer della famiglia Giddome che effettua la scansione di tutti i dispositivi di storage collegati alla rete e di numerose directory alla ricerca di specifici file (.doc, .docx, .xls, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, .ps1, .rar, .zip, .7z e .mdb). Il malware crea una copia dei file nella directory TEMP e li invia al server C2 (command and control). Per ottenere la persistenza (avvio automatico) viene infine aggiunta una chiave al registro di Windows.

Il malware, così come il documento Office e il file RAR, possono essere rilevati e bloccati dalla maggioranza degli antivirus sul mercato, tra cui Avast Premium Security.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Cisco Talos
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 16 set 2022
Link copiato negli appunti