Ruski hakeri koriste Zulip Chat aplikaciju za prikrivene C&C aktivnosti u diplomatskim phishing napadima

Kontinuirana kampanja usmjerena prema ministarstvima vanjskih poslova zemalja članica NATO saveza ukazuje na aktivno sudjelovanje ruskih prijateljskih aktera.

Phishing napadi uključuju PDF dokumente s diplomatskim mamcima, neki od njih prikriveni kao dolazni iz Njemačke, kako bi distribuirali varijantu zlonamjernog softvera nazvanog Duke. Ovaj softver je povezan s APT29 (poznat i kao BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard i The Dukes).

“Napadač koristi Zulip – open-source aplikaciju za chat – za davanje naredbi i kontrolu, čime izbjegava i skriva svoje aktivnosti unutar legitimnog web prometa,” izjavila je nizozemska kompanija za kibernetičku sigurnost EclecticIQ u svom izvještaju prošle sedmice.

Slijed infekcije je sljedeći: PDF prilog pod naslovom “Oproštaj od Ambasadora Njemačke” sadrži ugrađeni JavaScript kod koji pokreće višestepeni proces za isporuku zlonamjernog softvera.

APT29 je ranije koristio tematiku poziva, što je dokumentirao Lab52, kako bi isporučio DLL izvršni kod. Ovaj izvršni kod je sposoban za kontaktiranje udaljenog servera i preuzimanje dodatnih zlonamjernih datoteka. Korištenje domene “bahamas.gov[.]bs” u oba seta napada dodatno potvrđuje ovu vezu.

Ako potencijalna meta padne u phishing zamku otvaranjem PDF datoteke, pokreće se zlonamjerni HTML dropper po imenu Invitation_Farewell_DE_EMB, koji aktivira JavaScript za preuzimanje ZIP arhivske datoteke. Ova datoteka sadrži HTML Application (HTA) datoteku koja je namijenjena za instalaciju Duke zlonamjernog softvera.

Komande i kontrola se ostvaruju putem Zulip-ovog API-ja za slanje informacija o žrtvama u chat sobu pod kontrolom napadača (toyy.zulipchat[.]com), kao i za daljinsko preuzimanje kompromitiranih računara.

EclecticIQ je identificirala drugu PDF datoteku koju je vjerojatno koristio APT29 za izviđanje ili testiranje.

“Ova datoteka nije sadržavala zlonamjernu komponentu, već je služila za obavještavanje napadača o otvaranju email priloga putem obavijesti poslanih preko kompromitirane domene edenparkweddings[.]com,” izjavili su istraživači.

Vrijedno je napomenuti da je zloupotreba Zulip-a uobičajena praksa za grupe sponzorirane od države koje koriste širok spektar legitimnih online usluga poput Google Drive-a, Microsoft OneDrive-a, Dropbox-a, Notion-a, Firebase-a i Trello-a za komunikaciju i kontrolu (C2).

Glavni ciljevi APT29 su vlade, podizvođači vlada, političke organizacije, istraživačke firme i ključne industrije u Sjedinjenim Američkim Državama i Europi. Međutim, zanimljivo je primijetiti da je nepoznati protivnik koristio svoje taktike kako bi kompromitirao korisnike koji govore kineski jezik pomoću alata Cobalt Strike.

Ova situacija dolazi u trenutku kada je Računalni hitni odgovorni tim Ukrajine (CERT-UA) upozorio na novi niz phishing napada protiv državnih organizacija u Ukrajini, koristeći alat za post-eksploataciju otvorenog koda nazvan Merlin, koji se temelji na Go programskom jeziku. Aktivnost se prati pod kodnim imenom UAC-0154.

Zemlja pogođena ratom također je suočena s kontinuiranim cyber napadima od strane Sandworm-a, elitne hakerske jedinice povezane s ruskom vojnom obavještajnom službom. Ova jedinica se uglavnom bavi narušavanjem ključnih operacija i prikupljanjem obavještajnih podataka kako bi postigla stratešku prednost.

Prema nedavnom izvještaju Ukrajinske Sigurnosne Službe (SBU), tvrdi se da je neprijatelj bezuspješno pokušao dobiti neovlašteni pristup Android tabletima u vlasništvu ukrajinskih vojnih osoba, s ciljem planiranja i izvođenja borbenih zadataka.

“Zahvat uređaja na terenu, njihova detaljna analiza i korištenje dostupnih pristupa i softvera postali su glavni način za početni pristup i distribuciju zlonamjernog softvera,” izjavila je sigurnosna agencija.

Neki od sojeva zlonamjernog softvera uključuju NETD za postojanost, DROPBEAR za daljinski pristup, STL za prikupljanje podataka s Starlink satelitskog sustava, DEBLIND za izfiltraciju podataka i maliciozni softver Mirai botneta. Također se koristi i skrivena TOR usluga za pristup uređajima na lokalnoj mreži putem interneta.

You May Also Like

More From Author

+ There are no comments

Add yours