В сетях жертв были обнаружены бэкдоры Stowaway, Beacon и Sparepart.
Украинские государственные учреждения подверглись кибератакам после того, как их сети были взломаны с помощью троянизированных ISO-файлов, замаскированных под легитимные установщики Windows. Вредоносные файлы содержали в себе ПО, способное собирать данные со взломанных компьютеров, устанавливать других вредоносов и передавать украденные данные на контролируемые злоумышленниками серверы.
Один из ISO, которые злоумышленники распространяли в рамках этой кампании, был размещен на украинском торрент-трекере toloka[.]to анонимным пользователем. По словам исследователей из Mandiant, этот образ отключает системы безопасности Windows, автоматические обновления и проверки лицензии.
Стоит отметить, что злоумышленники не пытались заработать на кибератаках – украденную ими информацию тяжело монетизировать, а полезные нагрузки не содержат вымогательского ПО или криптомайнеров.
Проведя анализ нескольких зараженных устройств, специалисты Mandiant обнаружили запланированные задачи, установленные в середине июля 2022 года. Они предназначены для получения команд, выполняемых через PowerShell.
После первоначальной разведки в системе жертвы хакеры разворачивают бэкдоры Stowaway, Beacon и Sparepart, позволяющие закрепиться в системе, выполнять произвольные команды и красть ценную пользовательскую информацию.
Троянизированные образы Windows 10 распространяются через украинские и русскоязычные торрент-трекеры. Такая стратегия отличается от привычных тактик кибершпионов, размещающих полезные нагрузки на своей инфраструктуре.
И хотя вредоносные установщики не были нацелены конкретно на украинское правительство, хакеры проводили анализ зараженных устройств, а затем атаковали те, которые принадлежали работникам правительственных структур.
