تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) هشدار داده است که بیش از دو هزار رایانه در این کشور توسط یک نوع بدافزار به نام بدافزار DirtyMoe آلوده شدهاند. آژانس، این کمپین را به عامل تهدیدی که UAC-0027 نام دارد، نسبت داده است.
بدافزار DirtyMoe که حداقل از سال ۲۰۱۶ فعال میباشد، قادر به انجام حملات cryptojacking یا استخراج ارز دیجیتال و انکار سرویس توزیع شده (DDoS) میباشد. شرکت امنیت سایبری Avast در مارس ۲۰۲۲، توانایی این بدافزار را برای انتشار به روشی کرم مانند (worm) با بهرهگیری از نقصهای امنیتی شناخته شده، فاش کرد.
شواهد حاکی از آن است که بات نت DDoS، از طریق بدافزار دیگری به نام Purple Fox یا از طریق پکیجهای نصب کننده جعلی MSI برای نرم افزارهای محبوب مانند تلگرام ارائه میشود. Purple Fox همچنین مجهز به یک روت کیت میباشد و به عوامل تهدید اجازه میدهد تا بدافزار را روی دستگاه مخفی کرده و شناسایی و حذف آن را دشوار سازند.
بردار دسترسی اولیه دقیق مورد استفاده در کمپین نفوذ به اوکراین در حال حاضر ناشناخته است. CERT-UA به سازمانها توصیه میکند که سیستمهای خود را به روز نگاه دارند، تقسیم بندی شبکه را اعمال کنند و ترافیک شبکه را برای هر گونه فعالیت غیرعادی نظارت نمایند.
این افشاگری زمانی صورت پذیرفت که Securonix یک کمپین فیشینگ در حال انجام به نام STEADY#URSA را که پرسنل نظامی اوکراینی را با هدف ارائه یک بکدور سفارشی PowerShell با نام SUBTLE-PAWS مورد نفوذ قرار داده بود، تحلیل کرد.
زنجیره بهره برداری نسبتاً ساده است و شامل اجرای یک فایل شرتکات مخرب (lnk.) توسط هدف می باشد که یک کد پیلود بکدور PowerShell جدید (که داخل فایل دیگری موجود در همان آرشیو یافت میشود) را بارگیری و اجرا میکند.
گفته میشود که این حمله مربوط به یک عامل تهدید به نام Shackworm و بخشی از سرویس امنیت فدرال روسیه (FSB) است که با نامهای Aqua Blizzard (Actinium سابق)، Armageddon، Gamaredon، Iron Tilden، Primitive Bear، Trident Ursa، UNC530 و Winterflounder نیز شناخته میشود و حداقل از سال ۲۰۱۳ فعال میباشد.
SUBTLE-PAWS، علاوه بر ایجاد تداوم دسترسی بر روی host ، از پلتفرم وبلاگ نویسی تلگرام به نام تلگراف برای بازیابی اطلاعات فرمان و کنترل (C2) استفاده میکند؛ تکنیکی که قبلاً از اوایل سال ۲۰۲۳ شناخته شده است و میتواند از طریق درایوهای متصل قابل حمل منتشر شود.
توانایی Gamaredon برای انتشار از طریق درایوهای USB نیز توسط Check Point در نوامبر ۲۰۲۳ ثبت گردید و کرم USB مبتنی بر PowerShell را LitterDrifter نامید.
کولسنیکوف، معاون تحقیقات تهدید و علم داده و هوش مصنوعی در Securonix، در این باره اذعان داشت که پیلود حمله SUBTLE-PAWS جدید را میتوان به عنوان تکاملی از پیلودهای حمله توسط عامل تهدید مخرب درگیر در کمپین [LitterDrifter] مشاهده کرد. به عنوان مثال، LitterDrifter مبتنی بر vbscript است. SUBTLE-PAWS ، نیز یک PowerShell میباشد. همچنین تفاوتهایی در نحوه کار این پیلودها وجود دارد، برای مثال SUBTLE-PAWS از مکانیزم تداوم دسترسی متفاوتی استفاده میکند.
بکدور SUBTLE-PAWS از تکنیکهای پیشرفته برای اجرای پویای پیلودهای مخرب استفاده میکند. آنها کد PowerShell اجرایی را از رجیستریِ ویندوز ذخیره و بازیابی میکنند که میتواند به دور زدن مکانیزمهای سنتی تشخیص مبتنی بر فایل کمک کند. این رویکرد همچنین به حفظ دسترسی در سیستم آلوده کمک میکند، چرا که بدافزار میتواند پس از راهاندازی مجدد یا سایر وقفهها دوباره شروع به کار نماید.
