Trükkös betörési lánc és kifinomult adatlopás
Később a támadók több lépésben speciális letöltőket futtatnak, amelyek tömörített és titkosított végső kártevőt juttatnak a célpont számítógépére. A folyamat során TCP-kapcsolatot alakítanak ki a vezérlőszerverükkel, XOR-titkosítással védve az adatforgalmat. A támadáshoz gyakran PowerShell-szkriptet (SILENTLOOP) is bevetnek, amely a szerver címét akár Telegram-csatornáról is le tudja kérni.
A gépeken nyílt forráskódú ChromElevator-eszközzel érzékeny böngészős adatokat (például jelszavakat, cookie-kat) gyűjtenek, valamint a ZAPiDESK programmal a WhatsApp for Windows titkosított adatbázisát is feltörik. Ezzel párhuzamosan hálózati felderítést és oldalirányú mozgást folytatnak különböző segédprogramok (például a RustScan és a Chisel) segítségével.
AgingFly: folyamatosan fejleszthető, nehezebben felismerhető fertőzés
Az AgingFly különlegessége, hogy C# nyelven készült, és a legfontosabb funkcióit – mint a távoli vezérlés, parancsok végrehajtása, fájlok kiszivárogtatása, képernyőkép készítése, billentyűleütés-naplózás – a vezérlőszervertől kapott forráskódból, valós időben, helyben fordítja le, tehát nincsenek előre beégetett parancsok a kártevőben. Ez megnehezíti a felderítést, mivel a kezdeti fertőzéskód kicsi, folyamatosan változtatható, és a funkciók cserélhetők; ugyanakkor a kapcsolati igény és a terjedelmes futó kód növeli a lebukás kockázatát.
Védekezési lehetőségek
A támadások sikeres megakadályozására a helyi szakemberek elsősorban azt tanácsolják, hogy tiltsák le az LNK, HTA és JS kiterjesztésű fájlok futtatását, így megakasztható az indított támadási lánc, amely jelenleg Ukrajna kormányzati és egészségügyi szervezeteit fenyegeti.
