Украинские правительственные сети вскрыты с помощью троянизированных установщиков Windows 10

Украинские государственные учреждения подверглись кибератакам после того, как их сети были взломаны с помощью троянизированных ISO-файлов, замаскированных под легитимные установщики Windows. Вредоносные файлы содержали в себе ПО, способное собирать данные со взломанных компьютеров, устанавливать других вредоносов и передавать украденные данные на контролируемые злоумышленниками серверы.

Один из ISO, которые злоумышленники распространяли в рамках этой кампании, был размещен на украинском торрент-трекере toloka[.]to анонимным пользователем. По словам исследователей из Mandiant , этот образ отключает системы безопасности Windows, автоматические обновления и проверки лицензии.

Стоит отметить, что злоумышленники не пытались заработать на кибератаках – украденную ими информацию тяжело монетизировать, а полезные нагрузки не содержат вымогательского ПО или криптомайнеров.

Проведя анализ нескольких зараженных устройств, специалисты Mandiant обнаружили запланированные задачи, установленные в середине июля 2022 года. Они предназначены для получения команд, выполняемых через PowerShell.

После первоначальной разведки в системе жертвы хакеры разворачивают бэкдоры Stowaway, Beacon и Sparepart, позволяющие закрепиться в системе, выполнять произвольные команды и красть ценную пользовательскую информацию.

Троянизированные образы Windows 10 распространяются через украинские и русскоязычные торрент-трекеры. Такая стратегия отличается от привычных тактик кибершпионов, размещающих полезные нагрузки на своей инфраструктуре.

И хотя вредоносные установщики не были нацелены конкретно на украинское правительство, хакеры проводили анализ зараженных устройств, а затем атаковали те, которые принадлежали работникам правительственных структур.