Эксперты Symantec сообщают, что хак-группа Shuckworm (она же Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530, Winterflounder и так далее) атакует украинские компании, используя бэкдор Pterodo, распространяемый через USB-накопители. В основном целями хакеров становятся важные организации в военных и разведывательных секторах.
По словам специалистов, в некоторых случаях группировке удалось организовать длительные атаки, продолжавшиеся до трех месяцев, что в итоге могло дать злоумышленникам доступ «к значительным объемам конфиденциальной информации». Активность Shuckworm в 2023 году резко возросла в период с февраля по март 2023 года, и хакеры продолжали сохранять присутствие на некоторых скомпрометированных машинах до мая 2023 года.
Для начала атак Shuckworm обычно использует фишинговые письма, содержащие вредоносные вложения, замаскированные под файлы с расширениями .docx, .rar, .sfx, lnk и hta. В качестве приманок в письмах часто используются такие темы, как вооруженные конфликты, уголовное преследование, борьба с преступностью и защита детей, чтобы заставить цели открыть само сообщение и вредоносные вложения.
В новой кампании Shuckworm дебютировала новая малварь, представляющая собой скрипт PowerShell, который распространяет бэкдор Pterodo. Скрипт активируется, когда зараженные USB-накопители подключаются к целевым компьютерам. Сначала он копирует себя на целевую машину, чтобы создать файл ярлыка с расширением rtf.lnk (video_porn.rtf.lnk, do_not_delete.rtf.lnk и evidence.rtf.lnk). Такие имена являются попыткой побудить цели открыть файлы, чтобы Pterodo смог проникнуть на их машины.
Затем скрипт изучает все диски, подключенные к целевому компьютеру, и копирует себя на все подключенные съемные диски ради дальнейшего бокового перемещения и в надежде проникнуть на изолированные устройства, которые намеренно не подключены к интернету, чтобы предотвратить их взлом.
Чтобы замести следы, Shuckworm создала десятки вариантов малвари (более 25 вариантов PowerShell-скриптов в период с января по апрель 2023 года), и быстро меняет IP-адреса и инфраструктуру, которая используется для контроля и управления. Для управления группа также использует легитимные сервисы, включая Telegram и платформу Telegraph, чтобы избежать обнаружения.