Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã cảnh báo rằng hơn 2.000 máy tính ở nước này đã bị nhiễm một loại phần mềm độc hại có tên DirtyMoe.
Cơ quan này cho rằng chiến dịch này là do một tác nhân đe dọa mà họ gọi là UAC-0027.
DirtyMoe, hoạt động ít nhất từ năm 2016, có khả năng thực hiện các cuộc tấn công cryptojacking và từ chối dịch vụ phân tán (DDoS). Vào tháng 3/2022, công ty an ninh mạng Avast đã tiết lộ khả năng lây lan của phần mềm độc hại theo kiểu sâu bằng cách tận dụng các lỗ hổng bảo mật đã biết.
Mạng botnet DDoS được biết là được phân phối bằng một phần mềm độc hại khác được gọi là Purple Fox hoặc thông qua các gói cài đặt MSI không có thật cho phần mềm phổ biến như Telegram. Purple Fox cũng được trang bị rootkit cho phép các tác nhân đe dọa ẩn phần mềm độc hại trên máy và gây khó khăn cho việc phát hiện và loại bỏ.
Vectơ truy cập ban đầu chính xác được sử dụng trong chiến dịch nhắm vào Ukraine hiện vẫn chưa được biết. CERT-UA khuyến nghị các tổ chức luôn cập nhật hệ thống của họ, thực thi phân đoạn mạng và giám sát lưu lượng mạng cho bất kỳ hoạt động bất thường nào.
Tiết lộ được đưa ra khi Securonix trình bày chi tiết về một chiến dịch lừa đảo đang diễn ra được gọi là STEADY # URSA nhắm vào các nhân viên quân sự Ukraine với mục tiêu cung cấp một cửa hậu PowerShell riêng biệt có tên là SUBTLE-PAWS.
"Chuỗi khai thác tương đối đơn giản: nó liên quan đến việc mục tiêu thực thi một tệp lối tắt độc hại (.lnk) tải và thực thi mã tải trọng cửa hậu PowerShell mới (được tìm thấy bên trong một tệp khác chứa trong cùng một kho lưu trữ)", các nhà nghiên cứu bảo mật Den Iuzvyk, Tim Peck và Oleg Kolesnikov cho biết.
Cuộc tấn công được cho là có liên quan đến một tác nhân đe dọa được gọi là Shuckworm, còn được gọi là Aqua Blizzard (trước đây là Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 và Winterflounder. Hoạt động ít nhất từ năm 2013, nó được đánh giá là một phần của Cơ quan An ninh Liên bang Nga (FSB).
SUBTLE-PAWS, ngoài việc thiết lập sự kiên trì trên máy chủ, sử dụng nền tảng blog của Telegram có tên Telegraph để truy xuất thông tin chỉ huy và kiểm soát (C2), một kỹ thuật trước đây được xác định là có liên quan đến đối thủ từ đầu năm 2023 và có thể lan truyền thông qua các ổ đĩa đính kèm di động.
Khả năng lây lan qua ổ USB của Gamaredon cũng được Check Point ghi nhận vào tháng 11/2023, đặt tên cho sâu USB dựa trên PowerShell là LitterDrifter.
Thuê DDoS server game và website của đối thủ với mạng Botnet Faghost