Kibernetičko špijuniranje usmjereno na Ukrajinu doživjelo je značajnu promjenu transformacijom GIFTEDCROOK zlonamjernog softvera iz osnovnog kradljivca vjerodajnica preglednika u sofisticiranu platformu za prikupljanje obavještajnih podataka.
Ovaj zlonamjerni softver, prvobitno otkriven kao jednostavni kradljivac informacija početkom 2025. godine, pretrpio je strateška poboljšanja koja se blisko poklapaju sa geopolitičkim događajima, posebno s mirovnim pregovorima u Istanbulu u junu 2025. godine.
Grupa prijetnji UAC-0226, odgovorna za razvoj i implementaciju GIFTEDCROOK-a, pokazala je izuzetnu prilagodljivost objavljivanjem tri različite verzije između aprila i juna 2025. godine.
Ono što je počelo kao verzija 1, usmjerena isključivo na krađu podataka iz preglednika, evoluiralo je kroz verzije 1.2 i 1.3 kako bi obuhvatilo sveobuhvatne mogućnosti eksfiltracije dokumenata, ciljajući osjetljive vladine i vojne informacije iz ukrajinskih institucija.
Analitičari Arctic Wolf-a identifikovali su napredovanje zlonamjernog softvera tokom svoje istrage ciljanih (spear-phishing) kampanja koje su koristile PDF mamce s vojnom tematikom, a koji su konkretno ciljali ukrajinsko vladino i vojno osoblje.
Vrijeme ovih napada, strateški pozicionirano oko ključnih diplomatskih pregovora, sugerira koordinisane obavještajne operacije osmišljene za prikupljanje osjetljivih informacija tokom presudnih geopolitičkih trenutaka.
Prijetnje koriste sofisticirane taktike društvenog inženjeringa, kreirajući uvjerljive dokumente o procedurama vojne registracije i administrativnim kaznama kako bi prevarili ciljeve da omoguće zlonamjerne makronaredbe.
Ovi dokumenti, distribuirani putem e-pošte s lažiranim ukrajinskim lokacijama, posebno iz Uzhhoroda na zapadu Ukrajine, sadrže naoružane linkove do datoteka hostovanih u oblaku koji na kraju isporučuju GIFTEDCROOK teret.
Napredna postojanost i mehanizmi prikupljanja datoteka
GIFTEDCROOK verzija 1.3 prikazuje poboljšane mogućnosti zlonamjernog softvera kroz svoju sveobuhvatnu strategiju prikupljanja datoteka i mehanizme postojanosti.
Nakon uspješne implementacije, zlonamjerni softver uspostavlja svoje prisustvo u sistemskom direktorijumu `%ProgramData%\PhoneInfo\PhoneInfo` i primjenjuje tehnike izbjegavanja mirovanja kako bi zaobišao osnovna rješenja za pješčano okruženje (sandboxing).
Zlonamjerni softver koristi sofisticirani sistem filtriranja datoteka koji cilja dokumente izmijenjene u posljednjih 45 dana, značajno proširujući se u odnosu na 15-dnevni prozor korišten u verziji 1.2.
Ovaj vremenski mehanizam filtriranja osigurava prikupljanje nedavno aktivnih i potencijalno osjetljivih dokumenata, istovremeno održavajući operativnu efikasnost.
Ciljani nastavci datoteka uključuju standardne uredske dokumente (.doc, .docx, .pptx), multimedijalne datoteke (.jpeg, .png), arhive (.rar, .zip) i, značajno, OpenVPN konfiguracijske datoteke (.ovpn), što ukazuje na poseban interes za vjerodajnice za mrežni pristup.
Tehnička analiza otkriva upotrebu prilagođenih XOR algoritama šifriranja od strane zlonamjernog softvera za osiguranje prikupljenih podataka prije eksfiltracije.
Proces šifriranja koristi dinamički generisane ključeve, kao što je “BPURYGBLPEWJIJJ” zabilježen u analiziranim uzorcima, osiguravajući integritet podataka tokom prijenosa.
Datoteke veće od 20 MB automatski se dijele na sekvencijalne dijelove (.01, .02) radi efikasnog učitavanja na određene Telegram kanale, demonstrirajući pažnju prijetnji prema praktičnim ograničenjima eksfiltracije.
Mehanizam eksfiltracije koristi krajnje točke Telegram API-ja, sa specifičnim bot tokenima kao što je `hxxps://api[.]telegram[.]org/bot7726014631:AAFe9jhCMsSZ2bL7ck35PP30TwN6Gc3nzG8/sendDocument` koji omogućavaju siguran prijenos podataka.
Ovaj pristup pruža napadačima pouzdane, šifrirane komunikacijske kanale, istovremeno održavajući operativnu sigurnost putem legitimnih platformi za razmjenu poruka.
Istraživači iz kompanije Arctic Wolf otkrili su da su počinioci odgovorni za zlonamjerni softver GIFTEDCROOK izvršili značajnu transformaciju alata. Ovaj zlonamjerni softver, koji je prvobitno bio jednostavan kradljivac informacija, sada je evoluirao u sofisticirani alat za prikupljanje obavještajnih podataka, fokusiran na eksfiltraciju osjetljivih podataka iz ukrajinskih institucija. Istraživači su podijelili ovo otkriće putem svog zvaničnog bloga, naglašavajući napredak i ciljeve zlonamjernog softvera.
Evolucija GIFTEDCROOK-a usko je povezana s nedavnim geopolitičkim događajima, posebno s mirovnim pregovorima u Istanbulu u junu 2025. godine. Napadači, identifikovani kao grupa UAC-0226, objavili su tri ažurirane verzije zlonamjernog softvera između aprila i juna 2025. godine. Počevši kao osnovni kradljivac podataka iz preglednika, softver je proširen mogućnostima za krađu dokumenata, ciljajući vladine i vojne podatke. Napadi su bili ciljani na ukrajinske zvaničnike putem privlačnih PDF dokumenata koji su se pretvarali da su povezani s vojnom registracijom ili administrativnim kaznama, navodeći korisnike da omoguće zlonamjerne makronaredbe. Ove taktike društvenog inženjeringa osmišljene su da prevare žrtve, a dokumenti su često slani s falsifikovanim lokacijama iz Ukrajine kako bi povećali vjerodostojnost. Nakon što je zlonamjerni softver instaliran, on je dizajniran da ostane neprimijećen, exhibiting napredne tehnike izbjegavanja otkrivanja i efikasno prikupljanje širokog spektra datoteka, uključujući nedavno izmijenjene dokumente i mrežne konfiguracijske datoteke, sve šifrovano i poslano putem Telegrama.
