Hanno scoperto che il gruppo noto come Blizzard Secret, Turla, Waterbug, Snake e Venomous Bear ha usato server e software dannoso di altre organizzazioni di hacker, in particolare, Sentol-1837, coinvolto nel monitoraggio dei droni ucraini. Non è noto come abbia ottenuto l'accesso a questa infrastruttura probabilmente rubata o accessibile.
Da marzo ad aprile 2024, Secret Blizzard ha usato un software Malicious Amadey relativo al gruppo Storm-1919 per sconfiggere i dispositivi dell'esercito ucraino con il droper PowerShell. L'obiettivo finale era quello di stabilire un "backdow" per trovare obiettivi interessanti. In uno dei bot di Amdey Microsoft, sono state trovate le informazioni raccolte dai buffer di dispositivi e password dei browser. Inoltre, il software ha verificato la presenza di programmi antivirali.
Ha quindi installato uno speciale strumento di ricognizione che si è sviluppato selettivamente sui dispositivi che erano interessati agli hacker, ad esempio sui laptop che si collegano a Internet satellitare Starlink: usano le forze dell'Ucraina in modo massiccio sui fronti. Successivamente, i russi hanno installato il virus Tavdig per raccogliere preziose informazioni sull'utente e installare le proprie impostazioni.
Nel gennaio 2024, la Microsoft Corporation notò un dispositivo militare in Ucraina, rotto dal virus Storm-1837, impostato per utilizzare l'API Telegram per avviare il comando di messa in servizio (fornito come parametri) per un account sulla piattaforma di file mega. Probabilmente ha costretto il sistema interessato a scaricare ed eseguire file.
Microsoft ha attirato l'attenzione: quindi ha usato PowerShell Droper, molto simile a quello che è stato osservato quando si utilizza i bot Amadey e conteneva due file nella codifica Base64 che conteneva Tavdig (Rastls. dll) e file binario Symantec (Kavp. exe). Secondo gli esperti, Secret Blizzard ha lanciato strumenti sui mezzi interessati e incorporato nuove funzioni in essi per renderli più efficaci per aver spiato un militare ucraino infermieristico.
Inoltre, Secret Blizzard probabilmente ha anche cercato di utilizzare questi punti per estendere l'accesso al ministero. Per proteggere le reti, gli utenti sono stati consigliati di attivare e impostare l'applicazione di protezione di Microsoft Defender. Può applicare ulteriori regole: il giorno prima in Bielorussia, hanno dichiarato la creazione del loro analogo Starlink chiamato "Kulis".
Tutti i diritti sono protetti IN-Ukraine.info - 2022