CERT Orange alaramuje o nowym zagrożeniu „Pikabomt”
Zespół CERT Orange wydał ostrzeżenie dotyczące nowego zagrożenia cybernetycznego, które zyskało aktywność na terenie Polski. Odnotowano wzrost aktywności złośliwego oprogramowania Pikabot, identyfikowanego od lutego bieżącego roku. Malware to jest powiązane z działalnością grupy hakerskiej TA577, kojarzonej z Rosją.
Fot. Obraz wygenerowany przez DALL·E
Pikabot, w przeciwieństwie do jego niewinnego imiennika z serii Pokemon, jest złośliwym oprogramowaniem o rozbudowanych możliwościach. Grupa TA577 wykorzystuje różnorodne typy malware, w tym Qakbot, IcedID, SystemBC, SmokeLoader i Ursnif, a także zaangażowana jest w działania ransomware, polegające na zdobywaniu i odsprzedawaniu dostępu do skompromitowanej infrastruktury.
Hakerzy wykorzystują socjotechnikę, aby „wzbudzić zaufanie” – stosują metody podobne do znanych ataków BEC, polegających na przejmowaniu kont pocztowych i kontynuowaniu wcześniejszej korespondencji. Chociaż technika ta jest dobrze znana, nadal okazuje się być skuteczna. W analizowanym przypadku, pomimo źle sformatowanej wiadomości i problemów z polskimi znakami, przyszłe kampanie mogą charakteryzować się już lepiej skonfigurowanymi wiadomościami.
Malware Pikabot funkcjonuje jako backdoor, umożliwiając nieautoryzowany dostęp do systemu ofiary. Program ma zaawansowane funkcje, w tym możliwość wstrzyknięcia kodu, wywołania biblioteki dll, czy zainstalowania oprogramowania typu CobaltStrike.
W analizowanej przez CERT Orange próbce zauważono, że rozpowszechniany był on poprzez maila z linkiem, który po kliknięciu pobierał złośliwy plik. Pikabot instalował się w systemie, tworząc połączenie z serwerem zarządzającym. Wzorce zachowań tego malware sugerują, że może on podążać ścieżką swoich poprzedników, takich jak Emotet czy Trickbot.
Obecnie nie jest jasne, jak Pikabot uzyskuje dostęp do skrzynek pocztowych, ale z uwagi na jego modularność, taka funkcjonalność może się pojawić w przyszłości. Możliwe, że hakerzy wykorzystują dane pozyskane z innych kampanii.
CERT Orange zaleca ostrożność w otwieraniu wiadomości i klikaniu w linki od nieznanych nadawców oraz zachowanie czujności wobec podejrzanych komunikatów, które mogą być częścią kampanii Pikabot.
Z zawodu językoznawca i tłumacz języka angielskiego. W redakcji od samego początku.