FOXreport.gr

«Scaly Wolf»: Ομάδα χάκερ επιτίθεται σε οργανισμούς για να αποκαλύψει τα μυστικά τους – Πώς αποφεύγουν την ανίχνευση

Εικόνα: cybersecuritynews.com

Η ασφάλεια στον κυβερνοχώρο συνεχίζει να αντιμετωπίζει εξελιγμένους παράγοντες απειλής που αναπτύσσουν ολοένα και πιο σύνθετες μεθοδολογίες επιθέσεων για να εισβάλουν στα δίκτυα οργανισμών και να κλέψουν ευαίσθητες πληροφορίες.

Μια πρόσφατη έρευνα από ερευνητές ασφάλειας αποκάλυψε μια επίμονη εκστρατεία που οργανώθηκε από την Advanced Persistent Threat (APT) ομάδα Scaly Wolf, η οποία κατάφερε να διεισδύσει σε μια ρωσική μηχανική εταιρεία μέσω μιας προσεκτικά οργανωμένης επίθεσης πολλαπλών σταδίων.

Αυτή η εκστρατεία, η οποία ξεκίνησε στις αρχές Μαΐου 2025, δείχνει τις εκλεπτυσμένες τακτικές της ομάδας και την επίμονη προσέγγισή της για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε εταιρικά μυστικά.

Η επίθεση ξεκίνησε με ένα γνωστό αλλά αποτελεσματικό διάνυσμα: phishing emails που περιείχαν κακόβουλα έγγραφα PDF και αρχεία ZIP προστατευμένα με κωδικό πρόσβασης.

Τα PDF δολώματα και τα αρχεία ZIP που επισυνάπτονταν σε ένα από τα emails

Αυτά τα φαινομενικά αθώα οικονομικά έγγραφα αποτέλεσαν την αρχική πύλη για τους παράγοντες απειλής να εγκατασταθούν εντός του οργανισμού-στόχου.

Η μηχανική εταιρεία έγινε θύμα μιας σύνθετης επιχείρησης που εκτεινόταν σε πολλές εβδομάδες, με αποτέλεσμα να παραβιαστούν πολλαπλά συστήματα εντός της υποδομής του δικτύου τους.

Οι κακόβουλοι παράγοντες χρησιμοποίησαν τεχνικές κοινωνικής μηχανικής, μεταμφιέζοντας εκτελέσιμα αρχεία με διπλές επεκτάσεις (.pdf.exe), εκμεταλλευόμενοι τη συμπεριφορά των Windows να κρύβουν τις επεκτάσεις αρχείων, για να παραπλανήσουν τα πιθανά θύματα.

Οι αναλυτές του Dr.Web ταυτοποίησαν την επίθεση ως έργο της ομάδας Scaly Wolf μέσω χαρακτηριστικών τεκμηρίων που βρέθηκαν στα δείγματα κακόβουλου λογισμικού.

Αλυσίδα επίθεσης

Οι ερευνητές σημείωσαν ότι αυτή η εκστρατεία αντιπροσώπευε σημαντική εξέλιξη στις τακτικές της ομάδας, ενσωματώνοντας τόσο εργαλεία που αναπτύχθηκαν εσωτερικά όσο και νόμιμα διαχειριστικά βοηθητικά προγράμματα για τη διατήρηση της μόνιμης πρόσβασης και την αποφυγή ανίχνευσης.

Η έρευνα αποκάλυψε ότι οι παράγοντες απειλής είχαν εκλεπτύνει την προσέγγισή τους από προηγούμενες εκστρατείες, εγκαταλείποντας τα trojans τύπου Malware-as-a-Service υπέρ του ιδιόκτητου modular backdoor συστήματός τους.

Το κύριο διάνυσμα μόλυνσης περιλάμβανε την ανάπτυξη του Trojan.Updatar.1, το οποίο στη συνέχεια κατέβασε επιπλέον στοιχεία, συμπεριλαμβανομένων των Trojan.Updatar.2 και Trojan.Updatar.3.

Οι επιτιθέμενοι επίσης χρησιμοποίησαν νόμιμα εργαλεία όπως το Metasploit framework, εργασίες της υπηρεσίας BITS και πρωτόκολλα απομακρυσμένης επιφάνειας εργασίας για να εγκαταστήσουν μόνιμη πρόσβαση και να πραγματοποιήσουν πλευρική κίνηση στο παραβιασμένο δίκτυο.

RockYou Obfuscation: Μια νέα τεχνική αποφυγής ανίχνευσης

Αυτό που διακρίνει αυτή τη συγκεκριμένη παραλλαγή είναι η εφαρμογή της τεχνικής που οι αναλυτές ονόμασαν «RockYou Obfuscation», μια εξελιγμένη μέθοδος που περιπλέκει σημαντικά τις προσπάθειες ανάλυσης κακόβουλου λογισμικού.

Αυτή η μέθοδος περιλαμβάνει τη συνεχή αρχικοποίηση συμβολοσειρών από το διάσημο RockYou.txt λεξικό κωδικών πρόσβασης, που περιέχει πάνω από 30 εκατομμύρια συχνά χρησιμοποιούμενους κωδικούς από ιστορικές παραβιάσεις δεδομένων.

Το trojan εκτελεί διάφορες λειτουργίες σε αυτές τις συμβολοσειρές του λεξικού που δεν επηρεάζουν τη βασική λειτουργικότητα του κακόβουλου λογισμικού, δημιουργώντας ένα αποτελεσματικό «καπνογόνο» που κρύβει τον πραγματικό σκοπό του κακόβουλου κώδικα.

Exit mobile version