Ranije nepoznati haker je primijećen kako provodi špijunske kampanje protiv entiteta Zajednice nezavisnih država (CIS).
Nazvan YoroTrooper od strane Cisco Talos tima, hakeri su uglavnom bili usmjereni na vladine i energetske organizacije širom Azerbejdžana, Tadžikistana i Kirgistana.
“Takođe smo primijetili kompromitujuće račune YoroTroopera od najmanje dvije međunarodne organizacije: kritične zdravstvene agencije Evropske unije (EU) i Svjetske organizacije za intelektualno vlasništvo (WIPO)” stoji u savjetu objavljenom ranije danas.
Napisan od strane istraživača bezbjednosti Cisco Talos-a, Vitor Ventura i Asheer Malhotra, u blogu navode da su informacije ukradene tokom napada uključivale kredencijale iz više aplikacija, istorije pretraživača i kolačića, kao i informacije o sistemu i snimke ekrana.
“Glavni alati YoroTrooper-a uključuju Python bazirane, prilagođene i otvorene alate za krađu informacija, kao što je Stink stealer, umotane u izvršne datoteke preko Nuitka framework-a i PyInstaller-a” objasnili su Ventura i Malhotra.
Osim toga, YoroTrooper je koristio razne alate za maliciozni softver kao što su AveMaria/Warzone RAT, LodaRAT i Meterpreter za obavljanje operacija daljinskog pristupa.
Što se tiče lanca infekcije, Cisco Talos tim je rekao da se YoroTrooper oslanjao na phishing email-ove s priloženom datotekom, obično arhivom koja se sastoji od dvije datoteke: datoteke prečice (LNK) i lažne PDF datoteke.
Fajl prečice je bio početni pokretač zaraze, dok je PDF bio mamac da infekcija izgleda legitimno.
„Da bi prevarili svoje žrtve, haker ili registruje maliciozne domene, a zatim generiše poddomene ili registruje squatted domene koji su zbog greške u kucanju slične legitimnim domenima iz CIS entiteta za smještaj malicioznih artefakata.
Ventura i Malhotra su dodali da su operateri koji stoje iza ove grupe pretnji govornici ruskog jezika, ali nisu nužno smješteni u zemlji ili ruski državljani (s obzirom na viktimologiju CIS-a). Motivi napada uglavnom su povezani sa prikupljanjem informacija i špijunažom.
„Prilagođeni RAT zasnovan na Python-u, koji koristi YoroTrooper, je relativno jednostavan” objasnio je Cisco Talos. “Koristi Telegram kao medij C2 komunikacije i eksfiltracije i sadrži funkcionalnost za pokretanje proizvoljnih naredbi i učitavanje datoteka od interesa za napadača na Telegram kanal putem bota.”
Cisco Talos savjet dolazi nekoliko sedmica nakon što su Symantec-ovi sigurnosni istraživači otkrili još jednog kradljivca na ruskom jeziku pod nazivom „Graphiron“.
Izvor: Infosecurity Magazine
