Scoperta una nuova campagna di spionaggio ai danni di istituzioni governative ucraine. Grazie alla telemetria di ESET è stato possibile ricondurre gli attacchi di tre RAT (Remote Access Trojan) allo stesso gruppo hacker.
I malware sono noti come Quasar, Sobaken e Vermin, tutti condividono parte dell’infrastruttura e gli stessi server di C&C. Il metodo primario di infezione resta la posta elettronica, e in molti casi sono stati adottate metodologie di social engineering (leggi: trarre in inganno gli utenti) per far scaricare e installare i codici malevoli sui PC.
Per assicurare che le infezioni non escano dall’area geografica interessata, i malware cessano di funzionare se vedono che il layout della tastiera è diverso da quello in lingua ucraina o russa, oppure se l’IP del device vittima è fuori dai range attribuiti a Ucraina e Russia.
ESET ha contato “diverse centinaia” di infezioni all’interno di differenti istituzioni governative in Ucraina, commentando che i RAT sono stati usati per rubare documenti sensibili dai computer infetti.
Maggiori informazioni sul blog di ESET e in questo whitepaper.