به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، بر اساس گزارش ها، این گروه توسط پلیس لوهانسک (LPR)، یک شبه ایالت ناشناخته واقع در شرق اوکراین که در سال 2022 به روسیه ضمیمه شد، کنترل می شود.
گمان می رود این هکرها به نمایندگی از کرملین عمل می کنند.
این گروه در آخرین کمپین خود که توسط تیم واکنش اضطراری رایانه ای اوکراین (CERT-UA) تجزیه و تحلیل شد، ارتش اوکراین را با هدف سرقت اطلاعات حساس از دستگاه ها هدف قرار داد.
برای انجام این عملیات، ورمین (Vermin) از یک بدافزار شناخته شده قبلی به نام اسپکتر (Spectr) و نرم افزار همگام سازی قانونی فایل به نام سینکتینگ (SyncThing) استفاده کرده است.
هکرها ابزارها را از طریق ایمیل های فیشینگ حاوی آرشیوهای مخرب محافظت شده توسط رمز عبور به رایانه های قربانیان ارسال کرده اند.
اسپکتر یک بدافزار منعطف و سازگار است که میتواند هر 10 ثانیه از صفحه قربانی عکس بگیرد، فایلهایی با پسوندهای خاص را کپی کند و دادههای احراز هویت را از پیامرسانها از جمله تلگرام، سیگنال و اسکایپ بدزدد.
همچنین میتواند اطلاعات مرورگرهای اینترنتی مانند فایرفاکس، اج و کروم، از جمله احراز هویت و دادههای جلسه، و همچنین سابقه مرورگر را به سرقت ببرد.
در مارس 2022، تیم واکنش اضطراری رایانه ای اوکراین هشدار داد که ورمین از اسپکتر برای هدف قرار دادن زیرساخت های دولت اوکراین استفاده کرده است.
به گفته محققان، از سینکتینگ در کمپین جدید برای استخراج اسناد، فایلها، گذرواژهها و سایر اطلاعات سرقت شده از رایانههای قربانیان به سرورهای ورمین استفاده شده است.
هکرها اغلب از ابزارهای قانونی در طول حملات خود استفاده می کنند تا از شناسایی جلوگیری کنند.
اوایل این هفته، شرکت امنیت سایبری سایبل (Cyble) گزارش داده بود که وزارت دفاع اوکراین و یک پایگاه نظامی توسط هکرهای تحت حمایت دولت بلاروس موسوم به گوست رایتر (Ghostwriter) مورد حمله قرار گرفته اند.
روز سهشنبه، تیم واکنش اضطراری رایانه ای اوکراین در مورد حملات سایبری علیه پرسنل ارتش اوکراین و سرویسهای دفاعی با استفاده از بدافزار دارک کریستال (DarkCrystal) هشدار داد که میتواند به مهاجمان امکان دسترسی از راه دور به دستگاه قربانی را بدهد.
