Cisco Talos odkryło kampanie szpiegowskie wymierzone m.in. w kraje Wspólnoty Niepodległych Państw, ambasady oraz agencje Unii Europejskiej

Kolejna grupa przestępcza została zaobserwowana przez analityków ds. bezpieczeństwa cyfrowego z Cisco Talos. YoroTrooper, którego przynależność nie została jeszcze określona, atakuje rządy oraz instytucje na obszarze Unii Europejskiej, Europy Wschodniej, Azji Środkowej i Turcji. Najbardziej prawdopodobnym motywem stojącym za działaniami grupy jest szpiegostwo – w trakcie ataków zdobywają dokumenty i informacje przydatne do przyszłych ataków. Główne narzędzia YoroTroopera oparte są na Pythonie oraz o niestandardowe i otwarte oprogramowanie do kradzieży informacji, takie jak np. Stink. Pakowane są one do plików wykonywalnych za pomocą frameworka Nuitka i PyInstallera.

Najważniejsze informacje: 

• Eksperci Cisco Talos zidentyfikowali nową grupę cyberprzestępczą. „YoroTrooper” prowadzi skuteczne kampanie szpiegowskie co najmniej od czerwca 2022 r.
• Głównymi celami grupy są organizacje rządowe i energetyczne w Azerbejdżanie, Tadżykistanie, Kirgistanie oraz innych państwach Wspólnoty Niepodległych Państw (WNP).
• Cyberprzestępcy zgrupowani w YoroTrooper skutecznie przełamali zabezpieczenia należące do ambasady Azerbejdżanu, gdzie próbowali wydobyć interesujące dokumenty i wdrożyć złośliwe oprogramowanie.
• Cisco Talos zaobserwował również, że YoroTrooper przejął konta co najmniej dwóch organizacji międzynarodowych: Światowej Organizacji Własności Intelektualnej oraz jednej z kluczowych unijnych agencji zajmujących się ochroną zdrowa.
• Celem atakujących są również prawdopodobnie inne podmioty europejskie oraz tureckie organizacje rządowe.

Według oceny ekspertów Cisco Talos, operatorzy tej grupy cybeprzestępczej posługują się językiem rosyjskim, ale nie muszą być związani z tym państwem. Ich ofiarą padają głównie mieszkańcy krajów i organizacje Wspólnoty Niepodległych Państw (WNP). W niektórych wprowadzanych skryptach pojawiają się fragmenty cyrylicy lub atakujący kierują się do punktów końcowych w języku rosyjskim (ze stroną kodową 866), co wskazuje na celowanie w osoby posługujące się tym językiem.

Według przeanalizowanych przez ekspertów Cisco Talos taktyk, technik i procedur (TTP) główną motywacją YoroTrooper jest cyberszpiegostwo. Aby oszukać swoje ofiary, grupa rejestruje złośliwe domeny, a następnie generuje subdomeny lub rejestruje domeny przypominające strony administracji państw WNP, aby umieścić w nich złośliwe skrypty.

Udane infekcje i ataki dokonane przez YoroTroopera

Eksperci Cisco Talos potwierdzili, że YoroTrooper uzyskał dostęp do danych uwierzytelniających przynajmniej jednego konta w krytycznym systemie internetowym unijnej agencji opieki zdrowotnej oraz innego konta w Światowej Organizacji Własności Intelektualnej (WIPO). Nie jest jednak jasne, czy aktorzy zagrożeń celowali w te instytucje specjalnie za pośrednictwem odpowiednich domen phishingowych, czy też dane uwierzytelniające zostały naruszone, ponieważ należą do użytkowników z konkretnej listy krajów objętych atakiem w Europie. „Znaleźliśmy złośliwe domeny maskujące się jako domeny legalnych agencji rządowych Unii Europejskiej, takie jak „maileecommission[.]inro[.]link”, co wskazuje, że inne instytucje europejskie były celem ataku” – tłumaczą eksperci Cisco Talos.

YoroTrooper skutecznie przełamał zabezpieczenia ambasad Turkmenistanu i Azerbejdżanu, gdzie przestępcy próbowali zdobyć interesujące ich dokumenty i wdrożyć dodatkowe szkodliwe oprogramowanie.

Zazwyczaj YoroTrooper wykorzystuje kradzieże informacji i RAT. Analiza skradzionych danych wykryła zainfekowane punkty końcowe, a wśród przejętych plików znajdowały się dane uwierzytelniające, historie i pliki cookie przeglądarek. Informacje, takie jak dane uwierzytelniające są bardzo cenne, ponieważ mogą być wykorzystane zarówno w trakcie działań związanych z rozprzestrzenieniem się po infrastrukturze, jak i podczas kolejnych ataków. W celu uzyskania zdalnego dostępu YoroTrooper wdrażał złośliwe oprogramowanie typu commodity, takie jak AveMaria/Warzone RAT, LodaRAT, a nawet Meterpreter. Łańcuch infekcji składa się ze złośliwych plików skrótów i dodatkowych dokumentów wabików, opakowanych w złośliwe archiwa.

Jak zachować bezpieczeństwo?

Poniżej wymieniono sposoby, w jakie firmy mogą chronić się przed atakami cyberprzestępców:

• Cisco Secure Endpoint (dawniej AMP for Endpoints) idealnie nadaje się do zapobiegania wykonania złośliwego oprogramowania opisanego w tym artykule.
• Cisco Secure Web Appliance zapobiega dostępowi do złośliwych stron internetowych i wykrywa złośliwe oprogramowanie wykorzystywane w tych atakach.
• Cisco Secure Email (dawniej Cisco Email Security) może blokować złośliwe wiadomości e-mail wysyłane przez cyberprzestępców.
• Urządzenia Cisco Secure Firewall (dawniej Next-Generation Firewall i Firepower NGFW), takie jak Threat Defense Virtual, Adaptive Security Appliance i Meraki MX mogą wykrywać złośliwą aktywność związaną z tym zagrożeniem.
• Cisco Secure Malware Analytics (Threat Grid) identyfikuje złośliwe pliki binarne i wbudowuje ochronę we wszystkie produkty Cisco Secure.
• Umbrella, bezpieczna brama internetowa (SIG) firmy Cisco, blokuje użytkowników przed łączeniem się ze złośliwymi domenami, adresami IP i URL, niezależnie od tego, czy użytkownicy znajdują się w sieci firmowej, czy poza nią.
• Cisco Secure Web Appliance (dawniej Web Security Appliance) automatycznie blokuje potencjalnie niebezpieczne witryny i testuje podejrzane strony, zanim użytkownicy uzyskają do nich dostęp.
• Cisco Duo zapewnia wieloczynnikowe uwierzytelnianie użytkowników, aby zapewnić, że tylko osoby upoważnione mają dostęp do sieci klienta.

IT RESELLER nr. 349/2023 „Nasi partnerzy mogą liczyć na jeszcze większe wsparcie”- podkreśla w wywiadzie okładkowym Andrzej Sowiński, dyrektor zarządzający HP Inc Polska.