Kolejna grupa przestępcza została zaobserwowana przez analityków ds. bezpieczeństwa cyfrowego z Cisco Talos. YoroTrooper, którego przynależność nie została jeszcze określona, atakuje rządy oraz instytucje na obszarze Unii Europejskiej, Europy Wschodniej, Azji Środkowej i Turcji. Najbardziej prawdopodobnym motywem stojącym za działaniami grupy jest szpiegostwo – w trakcie ataków zdobywają dokumenty i informacje przydatne do przyszłych ataków. Główne narzędzia YoroTroopera oparte są na Pythonie oraz o niestandardowe i otwarte oprogramowanie do kradzieży informacji, takie jak np. Stink. Pakowane są one do plików wykonywalnych za pomocą frameworka Nuitka i PyInstallera.
Najważniejsze informacje:
- Eksperci Cisco Talos zidentyfikowali nową grupę cyberprzestępczą. “YoroTrooper” prowadzi skuteczne kampanie szpiegowskie co najmniej od czerwca 2022 r.
- Głównymi celami grupy są organizacje rządowe i energetyczne w Azerbejdżanie, Tadżykistanie, Kirgistanie oraz innych państwach Wspólnoty Niepodległych Państw (WNP).
- Cyberprzestępcy zgrupowani w YoroTrooper skutecznie przełamali zabezpieczenia należące do ambasady Azerbejdżanu, gdzie próbowali wydobyć interesujące dokumenty i wdrożyć złośliwe oprogramowanie.
- Cisco Talos zaobserwował również, że YoroTrooper przejął konta co najmniej dwóch organizacji międzynarodowych: Światowej Organizacji Własności Intelektualnej oraz jednej z kluczowych unijnych agencji zajmujących się ochroną zdrowa.
- Celem atakujących są również prawdopodobnie inne podmioty europejskie oraz tureckie organizacje rządowe.
Według oceny ekspertów Cisco Talos, operatorzy tej grupy cybeprzestępczej posługują się językiem rosyjskim, ale nie muszą być związani z tym państwem. Ich ofiarą padają głównie mieszkańcy krajów i organizacje Wspólnoty Niepodległych Państw (WNP). W niektórych wprowadzanych skryptach pojawiają się fragmenty cyrylicy lub atakujący kierują się do punktów końcowych w języku rosyjskim (ze stroną kodową 866), co wskazuje na celowanie w osoby posługujące się tym językiem.
Według przeanalizowanych przez ekspertów Cisco Talos taktyk, technik i procedur (TTP) główną motywacją YoroTrooper jest cyberszpiegostwo. Aby oszukać swoje ofiary, grupa rejestruje złośliwe domeny, a następnie generuje subdomeny lub rejestruje domeny przypominające strony administracji państw WNP, aby umieścić w nich złośliwe skrypty.
Udane infekcje i ataki dokonane przez YoroTroopera
Eksperci Cisco Talos potwierdzili, że YoroTrooper uzyskał dostęp do danych uwierzytelniających przynajmniej jednego konta w krytycznym systemie internetowym unijnej agencji opieki zdrowotnej oraz innego konta w Światowej Organizacji Własności Intelektualnej (WIPO). Nie jest jednak jasne, czy aktorzy zagrożeń celowali w te instytucje specjalnie za pośrednictwem odpowiednich domen phishingowych, czy też dane uwierzytelniające zostały naruszone, ponieważ należą do użytkowników z konkretnej listy krajów objętych atakiem w Europie. „Znaleźliśmy złośliwe domeny maskujące się jako domeny legalnych agencji rządowych Unii Europejskiej, takie jak “maileecommission[.]inro[.]link”, co wskazuje, że inne instytucje europejskie były celem ataku” – tłumaczą eksperci Cisco Talos.
YoroTrooper skutecznie przełamał zabezpieczenia ambasad Turkmenistanu i Azerbejdżanu, gdzie przestępcy próbowali zdobyć interesujące ich dokumenty i wdrożyć dodatkowe szkodliwe oprogramowanie.
Zazwyczaj YoroTrooper wykorzystuje kradzieże informacji i RAT. Analiza skradzionych danych wykryła zainfekowane punkty końcowe, a wśród przejętych plików znajdowały się dane uwierzytelniające, historie i pliki cookie przeglądarek. Informacje, takie jak dane uwierzytelniające są bardzo cenne, ponieważ mogą być wykorzystane zarówno w trakcie działań związanych z rozprzestrzenieniem się po infrastrukturze, jak i podczas kolejnych ataków. W celu uzyskania zdalnego dostępu YoroTrooper wdrażał złośliwe oprogramowanie typu commodity, takie jak AveMaria/Warzone RAT, LodaRAT, a nawet Meterpreter. Łańcuch infekcji składa się ze złośliwych plików skrótów i dodatkowych dokumentów wabików, opakowanych w złośliwe archiwa.
Jak zachować bezpieczeństwo?
Poniżej wymieniono sposoby, w jakie firmy mogą chronić się przed atakami cyberprzestępców:
- Cisco Secure Endpoint (dawniej AMP for Endpoints) idealnie nadaje się do zapobiegania wykonania złośliwego oprogramowania opisanego w tym artykule.
- Cisco Secure Web Appliance zapobiega dostępowi do złośliwych stron internetowych i wykrywa złośliwe oprogramowanie wykorzystywane w tych atakach.
- Cisco Secure Email (dawniej Cisco Email Security) może blokować złośliwe wiadomości e-mail wysyłane przez cyberprzestępców.
- Urządzenia Cisco Secure Firewall (dawniej Next-Generation Firewall i Firepower NGFW), takie jak Threat Defense Virtual, Adaptive Security Appliance i Meraki MX mogą wykrywać złośliwą aktywność związaną z tym zagrożeniem.
- Cisco Secure Malware Analytics (Threat Grid) identyfikuje złośliwe pliki binarne i wbudowuje ochronę we wszystkie produkty Cisco Secure.
- Umbrella, bezpieczna brama internetowa (SIG) firmy Cisco, blokuje użytkowników przed łączeniem się ze złośliwymi domenami, adresami IP i URL, niezależnie od tego, czy użytkownicy znajdują się w sieci firmowej, czy poza nią.
- Cisco Secure Web Appliance (dawniej Web Security Appliance) automatycznie blokuje potencjalnie niebezpieczne witryny i testuje podejrzane strony, zanim użytkownicy uzyskają do nich dostęp.
- Cisco Duo zapewnia wieloczynnikowe uwierzytelnianie użytkowników, aby zapewnić, że tylko osoby upoważnione mają dostęp do sieci klienta.
