Специалисты Mandiant сообщили, что украинские госучреждения страдают от атак с использованием троянизированных установщиков Windows 10, так как жертвы загружают вредоносные файлы ISO с украинских и русскоязычных торрент-трекеров (включая Toloka и RuTracker).
По информации исследователей, эта кампания длится с июля 2022 года и представляют собой атаки на цепочку поставок с применением социальной инженерии. Судя по всему, за атаками стоит кластер угроз, который эксперты отслеживают как UNC4166.
Заражения, осуществленные таким способом, были обнаружены в сетях «нескольких» государственных организаций, которые якобы были выбраны хакерами вручную. При этом исследователи не уточняют, какие именно госучреждения пострадали, и каким образом пиратские торрент-файлы попали на их компьютеры.
В компании рассказывают, что в случае использования зараженного установщика, в систему проникает малварь, которая собирает информацию о скомпрометированной системе и передает ее своим операторам. В отчете подчеркивается, что хакеры используют украинский языковой пакет и атаки ориентированы на украинских пользователей.
Также Mandiant обнаружила дополнительные полезные нагрузки, которые, вероятно, были развернуты после первоначального заражения. В их числе были опенсорсный прокси-инструмент STOWAWAY, маяки Cobalt Ctrike и бэкдор SPAREPART, позволяющие хакерам поддерживать доступ к скомпрометированным машинам, выполнять команды, передавать файлы и воровать информацию, включая учетные данные и перехват нажатия клавиш, а также делать скриншоты.
В некоторых случаях злоумышленники и вовсе пытались загрузить Tor Browser на устройство жертвы. Хотя точная причина этих действия не ясна, исследователи подозревают, что Tor мог бы служить альтернативным каналом для кражи данных.
«Использование троянизированных ISO-образов является новым словом в шпионских операциях, а встроенные функции защиты от обнаружения указывают на то, что хакеры, стоящие за этой активностью, заботятся о безопасности и терпеливы, так как для разработки этой операции требовалось значительное время и ресурсы, равно как и для ожидания установки ISO в целевой сети», — заключают специалисты.