16/06/23
Специалисты по кибербезопасности из компании Symantec обнаружили доказательства попыток атак хакерской группы Shuckworm (также известной как Gamaredon или Armageddon) против нескольких организаций на Украине.
Shuckworm активна с 2013 года и использует фишинговые письма для распространения своего собственного вредоносного ПО под названием Pterodo, а также других инструментов удаленного доступа, передает Securitylab. Группа нацелена исключительно на получение информации в сфере военной и правительственной деятельности.
По утверждению Symantec, в феврале 2021 года Shuckworm начала использовать новое вредоносное ПО в виде PowerShell-скрипта, который распространяет Pterodo через зараженные USB-накопители. Скрипт активируется, когда такие накопители подключаются к целевым компьютерам. Скрипт копирует себя на компьютер и создает ярлык с расширением rtf.lnk, который запускает Pterodo на машине. Файлы имеют такие названия, как video_porn.rtf.lnk, do_not_delete.rtf.lnk и evidence.rtf.lnk. Это попытка заставить жертв открыть файлы и установить Pterodo.
Скрипт также сканирует все диски, подключенные к компьютеру, и копирует себя на все съемные носители, вероятно, в надежде заразить любые изолированные устройства, которые не подключены к Интернету в целях безопасности. Для маскировки своей деятельности Shuckworm создает десятки вариантов своего ПО и быстро меняет IP-адреса и инфраструктуру, которую она использует для управления и контроля. Группа также использует легитимные сервисы, такие как Telegram и платформу микроблогов Telegraph для управления и контроля в другой попытке избежать обнаружения.
Shuckworm использует фишинговые электронные письма для распространения либо свободно доступных инструментов удаленного доступа, таких как Remote Manipulator System (RMS) и UltraVNC, либо специализированного вредоносного ПО под названием Pterodo/Pteranodon. Группа также использует инструменты living-off-the-land для кражи учетных данных и перемещения по сетям жертв.
