Secret Blizzard использовали инструменты и инфраструктуру другого злоумышленника для компрометации целей в Украине. Он использовал вредоносное ПО Amadey bot для загрузки своих бэкдоров на украинские устройства, связанные с военными. Это уже не первый случай, когда Secret Blizzard использует такие кампании для создания своего вредоносного ПО.
Secret Blizzard APT
В январе 2024 года он использовал бэкдор Storm-1837, чтобы загрузить бэкдоры Tavdig и KazuarV2 на украинское устройство. Secret Blizzard использует различные векторы атак, включая фишинг, компрометацию серверов и пограничных устройств.
Secret Blizzard атакует широкий спектр секторов, включая министерства, посольства и правительственные учреждения в разных странах. Его цель - получение долгосрочного доступа к системам для сбора разведданных, особенно информации политического значения. Microsoft отслеживает его кампании и предоставляет информацию о них клиентам, чтобы обеспечить безопасность их сред и повысить осведомленность об этом злоумышленнике.
Secret Blizzard использует ботов Amadey для развертывания своего собственного бэкдора Tavdig. Он использовал этот бот, чтобы установить криптовалютных майнеров XMRIG на устройства жертв. Microsoft предполагает, что Secret Blizzard получил доступ к командно-контрольным панелям Amadey для загрузки дроппера PowerShell на целевые устройства. Дроппер содержит закодированную в Base64 полезную нагрузку Amadey и код для обращения к C2-инфраструктуре Secret Blizzard.
Amadey собирает информацию о системе жертвы и проверяет наличие установленного антивирусного ПО. Затем он отправляет информацию об установленном ПО на серверы C2-инфраструктуры Secret Blizzard. Secret Blizzard использует различные бэкдоры и стратегии для своих атак, и организации, скомпрометированные им, могут быть в дальнейшем скомпрометированы другими злоумышленниками.
Indicators of Compromise
URLs
- http://vitantgroup.com/xmlrpc.php
- https://brauche-it.de/wp-includes/blocks/blocksu9ky0o
- https://citactica.com/wp-content/wp-login.php
- https://coworkingdeamicis.com/wp-includes/Text/TextYpRm9l
- https://hospitalvilleroy.com.br/wp-includes/fonts/icons/
- https://icw2016.coachfederation.cz/wp-includes/images/wp/
- https://okesense.oketheme.com/wp-includes/sodium_compat/sodium_compatT4FF1a
- https://plagnol-charpentier.fr/wp-includes/random_compat/random_compata0zW7Q
SHA256
- a56703e72f79b4ec72b97c53fbd8426eb6515e3645cb02e7fc99aaaea515273e
- ced8891ea8d87005de989f25f0f94634d1fc70ebb37302cf21aa0c0b0e13350f
- d26ac1a90f3b3f9e11491f789e55abe5b7d360df77c91a597e775f6db49902ea
- d7e528b55b2eeb6786509664a70f641f14d0c13ceec539737eef26857355536e
- dfdc0318f3dc5ba3f960b1f338b638cd9645856d2a2af8aa33ea0f9979a9ca4c
- ee8ef58f3bf0dab066eb608cb0f167b1585e166bf4730858961c192860ceffe9
- f9ebf6aeb3f0fb0c29bd8f3d652476cd1fe8bd9a0c11cb15c43de33bbce0bf68