Analýza ruských hackerských útoků na Ukrajinu a Polsko odhalila nový malware

Výzkumníci odhalili novou kybernetickou operaci proti ukrajinským a polským organizacím a připisují ji ruské státem kontrolované hackerské skupině známé jako Fancy Bear.

Během prosincových útoků ruští hackeři posílali svým obětem phishingové e-maily se škodlivými přílohami. Po otevření těchto příloh infikovali cílová zařízení novým malwarem Masepie.

Tento malware, napsaný v programovacím jazyce Python, dokáže nahrávat soubory a provádět příkazy. V poslední kampani jej hackeři použili k nahrání malwaru pro krádež dat s názvem Steelhook, který se zaměřuje na webové prohlížeče, a zadních vrátek s názvem Oceanmap, která využívají e-mailový software.

Po počátečním napadení hackeři do systému integrují také nástroje s otevřeným zdrojovým kódem, jako jsou Impacket a Smbexec, aby provedli průzkum. Tyto nástroje se běžně používají při testování a etickém hackingu k pochopení a využití zranitelností sítě. Hackeři je však mohou zneužít i ke škodlivým účelům.

Cílem hackerů v této kampani nebylo infikovat pouze jeden počítač, ale rozšířit útok na celou síť organizace. Na Ukrajině se obětí skupiny staly nejmenované vládní agentury.

V roce 2023 se skupina Fancy Bear, známá také jako APT28, zaměřila na ukrajinská energetická zařízení, vládní agentury a armádu. Francie hackery obvinila také ze špionáže francouzských univerzit a podniků.

Skupina je napojena na ruskou vojenskou zpravodajskou službu (GRU) a útočí především na vládní, energetické, dopravní a nevládní organizace v USA, Evropě a na Blízkém východě.

Hackeři běžně využívají veřejně dostupné zranitelnosti, jako jsou chyby v aplikaci Microsoft Outlook nebo v populárním nástroji pro archivaci souborů pro Windows s názvem WinRAR. Začátkem prosince polská agentura pro kybernetickou bezpečnost uvedla, že Fancy Bear zneužil zranitelnost aplikace Microsoft Outlook k získání přístupu k poštovním schránkám obsahujícím „informace vysoké hodnoty“.

Zdroj: SOC Prime, Bank Info Security, redakce