Nová kampaň ruských hackerov cieli na ukrajinskú armádu: Takto útočníci maskujú malvér
Konflikt na Ukrajine pokračuje a popri ňom sa bojuje aj v kyberpriestore. Nová kampaň cieli na ukrajinskú armádu.
Zatiaľ čo konflikt na Ukrajine pokračuje, bojuje sa aj na kybernetickom fronte. Útoky v online priestore sa nespomaľujú a bezpečnostní experti zo Securonix Threat Research objavili novú kampaň, za ktorou stojí skupina UAC-0154. Tá využíva manuál pre drony, aby nalákala obete a cez infikovaný súbor doručila na nepriateľské zariadenia malvér.
Konflikt trvá už približne rok a pol a nie je preto prekvapením, že z oboch strán konfliktu vychádzajú stále nové spôsoby kybernetického boja. Drony sa stali kľúčovou súčasťou bojov, čo využila hackerská skupina ako návnadu, pre útočenie na ukrajinské ciele. Podobné útoky sa objavili už minulý mesiac. Bezpečnostní experti odhalili ako skupina UAC-0154 posiela e-mailom vojenské dokumenty ukrajinským cieľom. Tentokrát si však hackeri našli nové spôsoby, ako doručiť malvér MerlinAgent svojim obetiam.
Nový infikovaný súbor sa javí ako súbor typu Microsoft Help s príponou .chm. V tomto prípade názov infikovaného súboru v preklade znel info o UAV tréningu pre armádu (pozn. redakcie: UAV – Unmanned Areal Vehicle, v preklade bezpilotné vzdušné vozidlo, je oficiálne označenie pre drony). Súbor obsahuje škodlivý kód, ktorý sa spúšťa hneď ako obeť otvorí infikovaný súbor. V tomto prípade sa spúšťa škodlivý JavaScript kód, ktorý sa nachádza na jednej z HTML stránok.
V ďalších krokoch sa stiahne do zariadenia obete malvér MerlinAgent. Keď sa malvér úspešne dostane do zariadenia, hacker získa plnú kontrolu nad napadnutým zariadením. Bezpečnostní experti vysvetľujú, že priebeh útoku je relatívne jednoduchý. Malvér však používa komplexné techniky na to, aby sa vyhol odhaleniu.
Microsoft Help súbory sa už roky nepoužívajú
Zneužitie Microsoft Help súborov sme mohli pozorovať už v minulosti. Dnes ide o menej častú metódu, pretože Microsoft zrušil ich podporu ešte v roku 2007. Napriek tomu ich dokážu otvoriť aj moderné operačné systémy. Infikovaný Help súbor sa dokáže vyhnúť detekcii antivírusových programov. Bezpečnostní experti vyskúšali 59 rôznych softvérov a ani jeden tento súbor neoznačil ako škodlivý.
Neprehliadnite
Ako sme už spomenuli, škodlivý súbor sa tentokrát maskoval ako manuál pre operáciu dronov. Po otvorení obete našli text písaný v ukrajinčine. Samotný manuál opisoval prácu s dronom modelu DJI Mavic 3. Windows Help súbory sú v podstate kontajnerom, ktorý ukrýva viacero súborov. Škodlivý kód sa nachádza na prvej strane dokumentu.
Keďže ide o dokument popisujúci operáciu vojenského drona, nie je ťažké dedukovať, že útoky hackerskej skupiny boli cielené na ukrajinskú armádu. Nemusíte však byť príslušníkom armády, aby ste sa aj vy stali terčom podobných útokov.
Bezpečnostní experti radia, že pri sťahovaní a otváraní každej prílohy majte zdravú dávku opatrnosti. Dvojnásobne to platí, aj keď sťahujete súbory z verejných diskusných fór alebo od cudzieho človeka v súkromnej správe alebo e-maily. Rovnako si dávajte pozor aj na akýkoľvek nevyžiadaný súbor, ktorý vám pošle aj váš známy. Vždy sa spýtajte sami seba či ste niečo podobné očakávali či existuje jasný dôvod prečo vám to dotyčný poslal a pri akomkoľvek podozrení radšej osobu kontaktujte a na zaslanú prílohu sa opýtajte.
Komentáre