קבוצת התקיפה גמארדון ממוקדת במשתמשי שירות הדוא"ל של מיקרוסופט

bigstock

חוקרי חברת אבטחת המידע ESET גילו כלים חדשים שמשמשים את קבוצת גמארדון בקמפיינים הזדוניים שלהם מהזמן האחרון. הכלי הראשון מכוון את מתקפותיו אל Microsoft Outlook באמצעות יצירת פקודות מותאמות אישית בשפת התכנות ויז'ואל בייסיק (VBA), אשר מאפשרות לתוקפים להשתמש בחשבון הדוא"ל של הקורבן כדי לשלוח הודעות דיוג ממוקד (spearphishing) לאנשי הקשר בפנקס הכתובות. בצורה כזו, הקורבן מקבל מייל זדוני מאדם שהוא מכיר לכאורה וסומך עליו, דבר המעלה את הסבירות לפגיעה.

שימוש בפקודות מאקרו של Microsoft Outlook היא שיטת תקיפה שהחוקרים נתקלים בה לעיתים רחוקות מאוד. הכלי השני שמשמש את קבוצת ה-APT מחדיר פקודות מאקרו לתבניות של מסמכי Wordו-Excel. שני הכלים תוכננו על מנת לעזור לתוקפים להתפשט לנקודות רבות ככל האפשר ברשתות אליהן פרצו מלכתחילה. "הקבוצה הזו הגבירה את פעילותה בחודשים האחרונים, ואנו רואים גלים של הודעות דוא"ל זדוניות המגיעות לתיבות הדוא"ל של קורבנותיה באופן קבוע.

"הקבצים המצורפים להודעות דוא"ל אלו הם מסמכים הכוללים פקודות מאקרו זדוניות, שמנסים להוריד כמות גדולה של נוזקות מסוגים שונים לאחר הפעלתם", אומר ג'אן-יאן בוטין, מנהל חקר האיומים ב-ESET. הכלים האחרונים מזריקים פקודות מאקרו או הפניות מאקרו לתבניות מרוחקות לקבצים הקיימים במערכת שהותקפה. זו דרך יעילה מאוד להתפשטות ותנועה בתוך רשת של ארגון, שכן העובדים משתפים מסמכים אחד עם השני באופן תדיר. בנוסף, הודות לפונקציונליות מיוחדת שמסוגלת לשנות את הגדרות האבטחה של פקודות המאקרו של Microsoft Office, המשתמשים שהותקפו כלל אינם מודעים לכך שכל פתיחת מסמך חושפת את תחנות העבודה שלהם למתקפה.

הקבוצה משתמשת בדלתות אחוריות ובתוכנות לגניבת קבצים כדי לזהות ולאסוף מסמכים רגישים במערכת שאליה פרצו, ומעלה אותם לשרת השליטה והבקרה (אשר בשליטת הקבוצה). בנוסף, תוכנות גניבת הקבצים האלה מסוגלות להריץ קוד זדוני שנמצא בשרת השליטה והבקרה לפי בחירתם.

יש הבדל חשוב אחד בין גמארדון ובין קבוצות APT אחרות – תוקפיה של קבוצה זו עושים מאמצים מזעריים, אם בכלל, על מנת להסתיר את עצמם. למרות שהכלים שברשותם מסוגלים להשתמש בטכניקות חמקניות ביותר, נראה כי המטרה העיקרית של הקבוצה היא להתפשט מהר ורחוק ככל האפשר ברשת הקורבן בזמן שהם מנסים לגנוב מידע ומסמכים במהירות הגבוהה ביותר.

"על אף ששימוש בתיבת דוא"ל שנפרצה לשליחת הודעות דוא"ל זדוניות ללא הסכמת הקורבן היא ממש לא טכניקה חדשה, אנו מאמינים שזהו המקרה המתועד הראשון של קבוצת תקיפה שמשתמשת בקובץ OTM ובפקודות מאקרו של Microsoft Outlook כדי להגיע למטרה הזו", מסביר בוטין.

קבוצת גמארדון החלה את פעילותה בשנת 2013, אם לא מוקדם יותר. היא אחראית למספר מתקפות, רובן מכוונות כלפי מוסדות אוקראיניים. הכלים עליהם דיברנו במחקר זה מזוהים ע"י מוצרי ESET כזנים שונים של MSIL/Pterodo, Win32/Pterodo או Win64/Pterodo. לפרטים טכניים נוספים בנוגע לכלים האחרונים של גמארדון, קראו את הפוסט המלא, "קבוצת גמארדון מגדילה את היקף פעילותה.