Low-budget 'Winter Vivern' APT vågner efter 2-års dvale

En politisk motiveret cybertrussel, som næppe diskuteres i den offentlige sfære, har gjort en slags comeback i de seneste måneder med kampagner mod statslige agenturer og enkeltpersoner i Italien, Indien, Polen og Ukraine.

"Winter Vivern" (alias UAC-0114) har været aktiv siden mindst december 2020. Analytikere sporede dens indledende aktivitet i 2021, men gruppen har holdt sig ude af offentlighedens øjne i årene siden. Det vil sige, indtil angreb mod ukrainske og polske regeringsmål inspirerede rapporter om genopblussen aktivitet tidligere på året fra Polens centrale cyberkriminalitetskontor, og State Cyber ​​Protection Center for statens tjeneste for særlig kommunikation og informationsbeskyttelse i Ukraine.

I en opfølgende analyse offentliggjort i denne uge, Tom Hegel, senior trusselsforsker ved SentinelOne, belyste yderligere gruppens TTP'er og understregede dens tætte tilpasning "med globale mål, der understøtter interesserne for Belarus og Ruslands regeringer," og bemærkede, at det burde klassificeres som en avanceret vedvarende trussel (APT) selv selvom dets ressourcer ikke er på niveau med dets andre russisktalende jævnaldrende.

Winter Vivern, en 'skrammel' trusselskuespiller

Winter Vivern, hvis navn er et afledt af wyvern, en type tobenet drage med en giftig, spids hale "falder ind i en kategori af skrappe trusselsaktører," skrev Hegel. De er "ret ressourcestærke og i stand til at udrette meget med potentielt begrænsede ressourcer, samtidig med at de er villige til at være fleksible og kreative i deres tilgang til problemløsning."

Gruppens mest definerende kendetegn er dens phishing-lokker – normalt dokumenter, der efterligner legitim og offentligt tilgængelig offentlig litteratur, som taber en ondsindet nyttelast ved åbning. For nylig er gruppen begyndt at efterligne regeringswebsteder for at distribuere deres grimme. Vivern har en sans for humor og efterligner hjemmesider, der tilhører de primære cyberforsvarsagenturer i Ukraine og Polen, som vist nedenfor.

Gruppens mest tunge-in-cheek-taktik er dog at skjule sin malware som antivirussoftware. Ligesom deres mange andre kampagner, "pitches de falske scannere via e-mail til mål som regeringsmeddelelser," siger Hegel til Dark Reading.

Disse meddelelser instruerer modtagerne til at scanne deres maskiner med denne formodede antivirussoftware. Ofre, der downloader den falske software fra det falske regeringsdomæne, vil se, hvad der ser ud til at være et egentligt antivirus, der kører, når der faktisk downloades en ondsindet nyttelast i baggrunden.

Den nyttelast har i de seneste måneder ofte været Aperitif, en trojaner, der indsamler detaljer om ofre, etablerer persistens på en målmaskine og sender ud til en angriberstyret kommando-og-kontrol-server (C2).

Gruppen anvender også mange andre taktikker og teknikker. I en nylig kampagne mod Ukraines Jeg vil leve hotline, tyede de til en gammel favorit: en makroaktiveret Microsoft Excel-fil.

Og "når trusselsaktøren søger at kompromittere organisationen ud over tyveri af legitime legitimationsoplysninger," skrev Hegel i sit indlæg, "har Winter Vivern en tendens til at stole på delte værktøjssæt og misbrug af legitime Windows-værktøjer."

Winter Vivern, APT eller hacktivister?

Winter Vivern-historien er spredt og fører til en noget forvirret profil.

Dens mål er ren APT: Tidligt i 2021, forskere fra DomainTools analyserede Microsoft Excel-dokumenter ved at bruge makroer, da de stødte på en med et ret uskyldigt navn: "kontakter." Kontaktmakroen droppede et PowerShell-script, der kontaktede et domæne, der havde været aktivt siden december 2020. Efter yderligere undersøgelse opdagede forskerne mere, end de havde forhandlet om: andre ondsindede dokumenter rettet mod enheder i Aserbajdsjan, Cypern, Indien, Italien, Litauen , Ukraine og endda Vatikanet.

Gruppen var tydeligvis stadig aktiv om sommeren, hvornår Lab52 offentliggjorde nyheder om en igangværende kampagne matcher den samme profil. Men det var først i januar 2023, at det dukkede op igen i offentligheden efter kampagner mod individuelle medlemmer af den indiske regering, Ukraines udenrigsministerium, det italienske udenrigsministerium og andre europæiske regeringsorganer.

"Af særlig interesse," bemærkede Hegel i sit blogindlæg, "er APT's målretning mod private virksomheder, herunder telekommunikationsorganisationer, der støtter Ukraine i den igangværende krig."

Denne særlige vægt på Ukraine tilføjer intriger til historien, da den ukrainske regering så sent som i februar kun kunne konkludere "med en høj grad af tillid", at "russisktalende medlemmer er til stede" i gruppen. Hegel er nu gået et skridt videre, ved direkte at korrelere gruppen med russiske og hviderussiske statsinteresser.

"Med de potentielle bånd til Hviderusland er det udfordrende at afgøre, om dette er en ny organisation eller blot nye opgaver fra dem, vi kender godt," siger Hegel til Dark Reading.

Alligevel passer gruppen ikke til profilen for en typisk nationalstats-APT. Deres mangel på ressourcer, deres "scrappiness" - i forhold til deres hårdtslående modparter som sandworm, Hyggelig Bjørn, Turla, og andre - placer dem i en kategori tættere på mere almindelig hacktivisme. "De besidder tekniske færdigheder til at opnå indledende adgang, men på nuværende tidspunkt stables de ikke op til meget nye russiske skuespillere," siger Hegel.

Ud over den begrænsede kapacitet er "deres meget begrænsede sæt af aktivitet og målretning, hvorfor de er så ukendte i offentligheden," siger Hegel. Det kan være til Winter Viverns favør i sidste ende. Så længe den mangler det ekstra bid, kan den blive ved med at flyve under radaren.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/low-budget-winter-vivern-apt-awakens-after-2-year-hibernation