Alacsony költségvetésű "Winter Vivern" APT ébredt 2 éves hibernálás után

Egy politikailag motivált kiberfenyegetés, amelyről alig esik szó a nyilvánosságban, az elmúlt hónapokban egyfajta visszatérést mutatott be az olaszországi, indiai, lengyelországi és ukrajnai kormányzati szervek és magánszemélyek elleni kampányokkal.

A „Winter Vivern” (más néven UAC-0114) legalább 2020 decembere óta aktív. Az elemzők 2021-ben követték nyomon kezdeti tevékenységét, de a csoport az azóta eltelt években távol maradt a nyilvánosságtól. Vagyis mindaddig, amíg az ukrán és lengyel kormányzati célpontok elleni támadások nem inspiráltak az év elején újjáéledő tevékenységről szóló jelentéseket. Lengyelország Központi Kiberbűnözés Elleni Iroda, És a Ukrajna Speciális Kommunikációs és Információvédelmi Állami Szolgálatának Állami Kibervédelmi Központja.

egy a héten közzétett nyomon követési elemzés, Tom Hegel, a SentinelOne vezető fenyegetettségi kutatója tovább magyarázta a csoport TTP-jeit, és hangsúlyozta, hogy szorosan igazodik „a fehéroroszországi és oroszországi kormányok érdekeit támogató globális célkitűzésekhez”, megjegyezve, hogy még a fejlett tartós fenyegetésnek (APT) is be kell sorolni. bár erőforrásai nem azonosak a többi oroszul beszélő társaival.

Winter Vivern, a „Scrappy” fenyegetettség színésze

A Winter Vivern, akinek a neve a wyvern származéka, egy kétlábú, mérgező, hegyes farkú sárkány, „a fenyegetőző szereplők kategóriájába tartozik” – írta Hegel. „Meglehetősen találékonyak és sok mindent képesek elérni potenciálisan korlátozott erőforrásokkal, ugyanakkor hajlandóak rugalmasak és kreatívak lenni a problémamegoldás terén”.

A csoport legmeghatározóbb jellemzője az adathalász csalók – általában legitim és nyilvánosan elérhető kormányzati szakirodalmat utánzó dokumentumok, amelyek megnyitásakor rosszindulatú rakományt dobnak el. A közelmúltban a csoport kormányzati webhelyeket utánoz, hogy terjeszthesse rosszindulatát. Vivernnek van humorérzéke, és Ukrajna és Lengyelország elsődleges kibervédelmi ügynökségeihez tartozó honlapokat utánozza, amint az alább látható.

A csoport legkiáltóbb taktikája azonban az, hogy rosszindulatú programjait vírusirtó szoftvernek álcázza. Sok más kampányukhoz hasonlóan „a hamis szkennereket e-mailben juttatják el a célpontokhoz kormányzati értesítésként” – mondja Hegel a Dark Readingnek.

Ezek az értesítések arra utasítják a címzetteket, hogy vizsgálják át gépeiket ezzel a feltételezett víruskereső szoftverrel. Azok az áldozatok, akik letöltik a hamis szoftvert a hamis kormányzati tartományról, látni fogják, hogy egy tényleges vírusirtó fut, amikor valójában egy rosszindulatú rakományt töltenek le a háttérben.

Ez a hasznos teher az elmúlt hónapokban általában az volt aperitif, egy trójai, amely adatokat gyűjt az áldozatokról, tartósságot biztosít a célgépen, és továbbítja a támadó által vezérelt parancs- és vezérlőkiszolgálóhoz (C2).

A csoport sok más taktikát és technikát is alkalmaz. Egy nemrégiben Ukrajna elleni kampányban Élni akarok forródrót, egy régi kedvenchez folyamodtak: egy makróképes Microsoft Excel fájlhoz.

És „amikor a fenyegetőző cselekvő a törvényes hitelesítő adatok ellopásán túl a szervezet kompromittálására törekszik” – írta bejegyzésében Hegel: „A Winter Vivern hajlamos a megosztott eszközkészletekre és a legitim Windows-eszközökkel való visszaélésre támaszkodni.”

Winter Vivern, APT vagy Hacktivisták?

A Winter Vivern történet szórványos, és kissé zavaros profilhoz vezet.

Céljai a tiszta APT: 2021 elején a kutatók A DomainTools a Microsoft Excel dokumentumokat elemezte makrókat használnak, amikor találtak egy meglehetősen ártalmatlan nevűt: „contacts”. A névjegymakró elvetett egy PowerShell-szkriptet, amely egy 2020 decembere óta aktív domainnel lépett kapcsolatba. A további vizsgálat során a kutatók többet fedeztek fel, mint amennyit megalkudtak: más rosszindulatú dokumentumokat, amelyek Azerbajdzsánon, Cipruson, Indián, Olaszországon és Litvánián belüli entitásokat céloznak meg. , Ukrajna, sőt a Vatikán is.

A csoport nyilvánvalóan még nyáron is aktív volt, amikor is A Lab52 hírt közölt egy folyamatban lévő kampányról azonos profillal. De csak 2023 januárjában került újra a nyilvánosság elé, az indiai kormány egyes tagjai, az ukrán külügyminisztérium, az olasz külügyminisztérium és más európai kormányhivatalok elleni kampányokat követően.

„Különösen érdekes – jegyezte meg Hegel blogbejegyzésében –, hogy az APT magánvállalkozásokat céloz meg, beleértve azokat a távközlési szervezeteket is, amelyek támogatják Ukrajnát a folyamatban lévő háborúban.

Ez az Ukrajnára fektetett különös hangsúly intrikává teszi a történetet, hiszen az ukrán kormány még februárban csak „nagy magabiztossággal” tudta megállapítani, hogy „az orosz nyelvű tagok jelen vannak” a csoporton belül. Hegel most egy lépéssel tovább ment azáltal, hogy a csoportot közvetlenül kapcsolatba hozta az orosz és a fehérorosz állami érdekekkel.

„A lehetséges fehéroroszországi kapcsolatok miatt nehéz eldönteni, hogy ez egy új szervezet, vagy egyszerűen az általunk jól ismert új feladat” – mondja Hegel a Dark Readingnek.

Ennek ellenére a csoport nem illik egy tipikus nemzetállami APT profiljához. Erőforrások hiánya, „seprűségük” – olyan kemény társaikhoz képest, mint például Sandworm, Hangulatos Medve, Turlaés mások – helyezze őket egy olyan kategóriába, amely közelebb áll a hétköznapibb hacktivizmushoz. „Bizonyos technikai készségekkel rendelkeznek a kezdeti hozzáférés eléréséhez, azonban jelenleg nem állnak össze a rendkívül újszerű orosz színészekkel” – mondja Hegel.

A korlátozott kapacitásokon túl „tevékenységük és célzásuk nagyon korlátozott készlete miatt olyan ismeretlenek a nyilvánosság előtt” – mondja Hegel. A végén talán Winter Vivern javára válik. Amíg hiányzik belőle ez az extra harapás, továbbra is repülhet a radar alatt.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/threat-intelligence/low-budget-winter-vivern-apt-awakens-after-2-year-hibernation