Ruská, státem podporovaná hackerská skupina, známá jako Gamaredon, byla spojena se dvěma novými špionážními nástroji pro Android nazvanými BoneSpy a PlainGnome. Jedná se o první případ, kdy byl tento protivník odhalen při používání malwaru zaměřeného výhradně na mobilní zařízení.
„BoneSpy a PlainGnome cílí na bývalé sovětské státy a zaměřují se na rusky mluvící oběti,“ uvedla společnost Lookout ve své analýze. „Oba nástroje shromažďují data, jako jsou SMS zprávy, záznamy hovorů, zvuk telefonních hovorů, fotografie z kamer zařízení, polohu zařízení a seznamy kontaktů.“
Gamaredon, známý také pod názvy jako Aqua Blizzard, Armageddon, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 a Winterflounder, jedná se o hackerskou skupinu spojenou s ruskou Federální bezpečnostní službou (FSB).
Minulý týden skupina Insikt Group společnosti Recorded Future odhalila, že využívá Cloudflare Tunnels jako taktiku k zakrytí své infrastruktury, která hostí škodlivé soubory, jako je GammaDrop.
Předpokládá se, že BoneSpy je aktivní minimálně od roku 2021. Na druhou stranu PlainGnome se objevil teprve na začátku troku 2024. Cíle kampaně pravděpodobně zahrnují Uzbekistán, Kazachstán, Tádžikistán a Kyrgyzstán, což vyplývá z analýzy artefaktů na VirusTotal. V této fázi neexistují důkazy, že by byl malware použit k útokům na Ukrajinu, která byla dosud hlavním cílem této skupiny.
V září 2024 společnost ESET rovněž odhalila, že Gamaredon se neúspěšně pokusil proniknout do cílů v několika zemích NATO, konkrétně v Bulharsku, Lotyšsku, Litvě a Polsku, v dubnu 2022 a únoru 2023. Společnost Lookout spekuluje, že zaměření na Uzbekistán, Kazachstán, Tádžikistán a Kyrgyzstán „může souviset se zhoršujícími se vztahy mezi těmito zeměmi a Ruskem od vypuknutí invaze na Ukrajinu.“
Připsání nového malwaru skupině Gamaredon vychází z využívání dynamických DNS poskytovatelů a překryvů IP adres, které ukazují na domény pro velení a řízení (C2) používané jak v mobilních, tak desktopových kampaních.
Zdroj: thehackernews