Mandiant: rosyjska cyberoperacja kierowana precyzyjnie w pewne ukraińskie obiekty. Infekcja roznosi się za pomocą pendriveów.

Nowy research od Mandianta nosi nieco enigmatyczny tytuł: Turla: A Galaxy of Opportunity. W opisie mamy całkiem sporo technicznych zawiłości, ale warto zwrócić uwagę na trzy elementy:

• Rosyjska grupa wykonuje dość precyzyjny dobór celów.
  
  In this case, the extensive profiling achieved since January possibly allowed the group to select specific victim systems and tailor their follow-on exploitation efforts to gather and exfiltrate information of strategic importance to inform Russian priorities.
  
• Do infekcji wykorzystywane są pendrive USB (ciężko powiedzieć czy są go gifty dla pracowników, losowo rozrzucane pendrivey na terenie organizacji-celu, czy jeszcze coś innego):
  
  when the system’s user double clicked a malicious link file (LNK) disguised as a folder within the USB drive, a legacy ANDROMEDA sample was automatically installed and began to beacon out.

• Do sterowania infrastrukturą używane są wygasłe domeny, które… zyskują nowe życie (tj. są rejestrowane ponownie).

Jeśli kogoś zaciekawił wątek z pendrajwami, zobaczcie na inne – również niedawne – badanie Mandianta. Zacytujmy obszerniejszy fragment [wytłuszczenia są nasze]:

Following initial infection via USB devices, the threat actor leveraged legitimately signed binaries to side-load malware, including three new families we refer to as MISTCLOAK, DARKDEW, and BLUEHAZE. Successful compromise led to the deployment of a renamed NCAT binary and execution of a reverse shell on the victim’s system, providing backdoor access to the threat actor. The malware self-replicates by infecting new removable drives that are plugged into a compromised system, allowing the malicious payloads to propagate to additional systems and potentially collect data from air-gapped systems.

~ms