Политически мотивированная киберугроза, которая почти не обсуждается в публичной сфере, в последние месяцы как бы вернулась в виде кампаний против государственных учреждений и частных лиц в Италии, Индии, Польше и Украине.
«Зимняя виверна» (также известная как UAC-0114) была активна как минимум с декабря 2020 года. Аналитики отследили ее первоначальную активность в 2021 году, но с тех пор группа оставалась вне поля зрения общественности. То есть до тех пор, пока нападения на украинские и польские правительственные объекты не вызвали сообщения о возрождающейся активности в начале этого года с Центральное бюро киберпреступности Польши, и Государственный центр киберзащиты Государственной службы специальной связи и защиты информации Украины.
В последующий анализ, опубликованный на этой неделе, Том Хегель, старший исследователь угроз в SentinelOne, далее разъяснил TTP группы и подчеркнул ее тесное соответствие «глобальным целям, поддерживающим интересы правительств Беларуси и России», отметив, что ее следует классифицировать как продвинутую постоянную угрозу (APT) даже хотя его ресурсы не наравне с другими русскоязычными аналогами.
Уинтер Виверн, актер 'Scrappy' Threat
Зимняя Виверна, чье имя является производным от виверны, типа двуногого дракона с ядовитым заостренным хвостом, «попадает в категорию обрывочных действующих лиц угрозы», писал Гегель. Они «довольно находчивы и способны многого добиться с потенциально ограниченными ресурсами, но при этом готовы проявлять гибкость и творческий подход к решению проблем».
Наиболее отличительной чертой группы являются ее фишинговые приманки — обычно документы, имитирующие законную и общедоступную правительственную литературу, которые сбрасывают вредоносную полезную нагрузку при открытии. Совсем недавно группа начала имитировать правительственные веб-сайты для распространения своих гадостей. Vivern обладает чувством юмора, имитируя домашние страницы, принадлежащие основным агентствам киберзащиты Украины и Польши, как показано ниже.
Однако самая насмешливая тактика группы заключается в том, чтобы замаскировать свое вредоносное ПО под антивирусное ПО. Как и во многих других их кампаниях, «фальшивые сканеры рассылаются по электронной почте адресатам, как об этом уведомляет правительство», — рассказывает Хегель Dark Reading.
Эти уведомления предписывают получателям сканировать свои машины с помощью этого предполагаемого антивирусного программного обеспечения. Жертвы, которые загружают поддельное программное обеспечение с поддельного государственного домена, увидят то, что выглядит как настоящий антивирус, хотя на самом деле в фоновом режиме загружается вредоносная полезная нагрузка.
Эта полезная нагрузка в последние месяцы обычно аперитив, троянец, который собирает сведения о жертвах, устанавливает постоянство на целевой машине и отправляет маяки на сервер управления и контроля, контролируемый злоумышленниками (C2).
Группа также использует множество других тактик и приемов. В недавней кампании против Украины Я хочу жить горячей линии, они прибегли к старому фавориту: файлу Microsoft Excel с поддержкой макросов.
И «когда злоумышленник пытается скомпрометировать организацию помимо кражи законных учетных данных, — написал Хегель в своем посте, — Winter Vivern склонен полагаться на общие наборы инструментов и злоупотребление законными инструментами Windows».
Winter Vivern, APT или хактивисты?
История Зимней Виверна беспорядочна и приводит к несколько запутанному профилю.
Его цели — чистый APT: в начале 2021 года исследователи из DomainTools анализировали документы Microsoft Excel используя макросы, когда они наткнулись на макрос с довольно безобидным названием: «контакты». Макрос контактов сбросил скрипт PowerShell, который связывался с доменом, который был активен с декабря 2020 года. В ходе дальнейшего расследования исследователи обнаружили больше, чем рассчитывали: другие вредоносные документы, нацеленные на организации в Азербайджане, на Кипре, в Индии, Италии, Литве. , Украина и даже Ватикан.
Группа явно все еще была активна к лету, когда Lab52 опубликовала новость о продолжающейся кампании соответствует одному и тому же профилю. Но только в январе 2023 года он вновь всплыл в поле зрения общественности после кампаний против отдельных членов правительства Индии, Министерства иностранных дел Украины, Министерства иностранных дел Италии и других европейских правительственных учреждений.
«Особый интерес, — отметил Хегель в своем блоге, — представляет нацеливание АПП на частный бизнес, включая телекоммуникационные организации, которые поддерживают Украину в продолжающейся войне».
Этот особый акцент на Украине добавляет интриги истории, поскольку еще в феврале украинское правительство смогло сделать вывод «с высокой степенью уверенности» только о том, что в группе «присутствуют русскоязычные члены». Теперь Гегель пошел еще дальше, прямо соотнеся группу с российскими и белорусскими государственными интересами.
«Учитывая потенциальные связи с Беларусью, сложно определить, является ли это новой организацией или просто новым заданием от тех, кого мы хорошо знаем», — говорит Хегель Dark Reading.
Тем не менее, группа не соответствует профилю типичной APT национального государства. У них нехватка ресурсов, их «разбросанность» — по сравнению с их мощными коллегами, такими как песчаный червь, Уютный медведь, Turlaи другие — поместите их в категорию, более близкую к более обычному хактивизму. «Они обладают техническими навыками для получения начального доступа, однако в настоящее время они не могут сравниться с очень новыми российскими актерами», — говорит Хегель.
Помимо ограниченных возможностей, «их очень ограниченный набор действий и таргетинга — вот почему они так неизвестны публике», — говорит Хегель. В конце концов, это может быть на руку Винтер Виверн. Пока ему не хватает этого дополнительного укуса, он может продолжать оставаться незамеченным.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://www.darkreading.com/threat-intelligence/low-budget-winter-vivern-apt-awakens-after-2-year-hibernation
