Najważniejsze informacje:
- Eksperci Cisco Talos zidentyfikowali nową grupę cyberprzestępczą. “YoroTrooper” prowadzi skuteczne kampanie szpiegowskie co najmniej od czerwca 2022 r.
- Głównymi celami grupy są organizacje rządowe i energetyczne w Azerbejdżanie, Tadżykistanie, Kirgistanie oraz innych państwach Wspólnoty Niepodległych Państw (WNP).
- Cyberprzestępcy zgrupowani w YoroTrooper skutecznie przełamali zabezpieczenia należące do ambasady Azerbejdżanu, gdzie próbowali wydobyć interesujące dokumenty i wdrożyć złośliwe oprogramowanie.
- Cisco Talos zaobserwował również, że YoroTrooper przejął konta co najmniej dwóch organizacji międzynarodowych: Światowej Organizacji Własności Intelektualnej oraz jednej z kluczowych unijnych agencji zajmujących się ochroną zdrowa.
- Celem atakujących są również prawdopodobnie inne podmioty europejskie oraz tureckie organizacje rządowe.
Warszawa, 16 marca 2023 – Kolejna grupa przestępcza została zaobserwowana przez analityków ds. bezpieczeństwa cyfrowego z Cisco Talos. YoroTrooper, którego przynależność nie została jeszcze określona, atakuje rządy oraz instytucje na obszarze Unii Europejskiej, Europy Wschodniej, Azji Środkowej i Turcji. Najbardziej prawdopodobnym motywem stojącym za działaniami grupy jest szpiegostwo – w trakcie ataków zdobywają dokumenty i informacje przydatne do przyszłych ataków. Główne narzędzia YoroTroopera oparte są na Pythonie oraz o niestandardowe i otwarte oprogramowanie do kradzieży informacji, takie jak np. Stink. Pakowane są one do plików wykonywalnych za pomocą frameworka Nuitka i PyInstallera.
Według oceny ekspertów Cisco Talos, operatorzy tej grupy cybeprzestępczej posługują się językiem rosyjskim, ale nie muszą być związani z tym państwem. Ich ofiarą padają głównie mieszkańcy krajów i organizacje Wspólnoty Niepodległych Państw (WNP). W niektórych wprowadzanych skryptach pojawiają się fragmenty cyrylicy lub atakujący kierują się do punktów końcowych w języku rosyjskim (ze stroną kodową 866), co wskazuje na celowanie w osoby posługujące się tym językiem.
Według przeanalizowanych przez ekspertów Cisco Talos taktyk, technik i procedur (TTP) główną motywacją YoroTrooper jest cyberszpiegostwo. Aby oszukać swoje ofiary, grupa rejestruje złośliwe domeny, a następnie generuje subdomeny lub rejestruje domeny przypominające strony administracji państw WNP, aby umieścić w nich złośliwe skrypty.
Udane infekcje i ataki dokonane przez YoroTroopera
Eksperci Cisco Talos potwierdzili, że YoroTrooper uzyskał dostęp do danych uwierzytelniających przynajmniej jednego konta w krytycznym systemie internetowym unijnej agencji opieki zdrowotnej oraz innego konta w Światowej Organizacji Własności Intelektualnej (WIPO). Nie jest jednak jasne, czy aktorzy zagrożeń celowali w te instytucje specjalnie za pośrednictwem odpowiednich domen phishingowych, czy też dane uwierzytelniające zostały naruszone, ponieważ należą do użytkowników z konkretnej listy krajów objętych atakiem w Europie. „Znaleźliśmy złośliwe domeny maskujące się jako domeny legalnych agencji rządowych Unii Europejskiej, takie jak “maileecommission[.]inro[.]link”, co wskazuje, że inne instytucje europejskie były celem ataku” – tłumaczą eksperci Cisco Talos.
YoroTrooper skutecznie przełamał zabezpieczenia ambasad Turkmenistanu i Azerbejdżanu, gdzie przestępcy próbowali zdobyć interesujące ich dokumenty i wdrożyć dodatkowe szkodliwe oprogramowanie.
Zazwyczaj YoroTrooper wykorzystuje kradzieże informacji i RAT. Analiza skradzionych danych wykryła zainfekowane punkty końcowe, a wśród przejętych plików znajdowały się dane uwierzytelniające, historie i pliki cookie przeglądarek. Informacje, takie jak dane uwierzytelniające są bardzo cenne, ponieważ mogą być wykorzystane zarówno w trakcie działań związanych z rozprzestrzenieniem się po infrastrukturze, jak i podczas kolejnych ataków. W celu uzyskania zdalnego dostępu YoroTrooper wdrażał złośliwe oprogramowanie typu commodity, takie jak AveMaria/Warzone RAT, LodaRAT, a nawet Meterpreter. Łańcuch infekcji składa się ze złośliwych plików skrótów i dodatkowych dokumentów wabików, opakowanych w złośliwe archiwa.
Jak zachować bezpieczeństwo?
Poniżej wymieniono sposoby, w jakie firmy mogą chronić się przed atakami cyberprzestępców:
- Cisco Secure Endpoint (dawniej AMP for Endpoints) idealnie nadaje się do zapobiegania wykonania złośliwego oprogramowania opisanego w tym artykule.
- Cisco Secure Web Appliance zapobiega dostępowi do złośliwych stron internetowych i wykrywa złośliwe oprogramowanie wykorzystywane w tych atakach.
- Cisco Secure Email (dawniej Cisco Email Security) może blokować złośliwe wiadomości e-mail wysyłane przez cyberprzestępców.
- Urządzenia Cisco Secure Firewall (dawniej Next-Generation Firewall i Firepower NGFW), takie jak Threat Defense Virtual, Adaptive Security Appliance i Meraki MX mogą wykrywać złośliwą aktywność związaną z tym zagrożeniem.
- Cisco Secure Malware Analytics (Threat Grid) identyfikuje złośliwe pliki binarne i wbudowuje ochronę we wszystkie produkty Cisco Secure.
- Umbrella, bezpieczna brama internetowa (SIG) firmy Cisco, blokuje użytkowników przed łączeniem się ze złośliwymi domenami, adresami IP i URL, niezależnie od tego, czy użytkownicy znajdują się w sieci firmowej, czy poza nią.
- Cisco Secure Web Appliance (dawniej Web Security Appliance) automatycznie blokuje potencjalnie niebezpieczne witryny i testuje podejrzane strony, zanim użytkownicy uzyskają do nich dostęp.
- Cisco Duo zapewnia wieloczynnikowe uwierzytelnianie użytkowników, aby zapewnić, że tylko osoby upoważnione mają dostęp do sieci klienta.
Więcej informacji na temat grupy YoroTrooper oraz ich metod można znaleźć na blogu Cisco Talos.
