Οι ερευνητές της SentinelOne διερεύνησαν τις δραστηριότητες της ομάδας Winter Viven και ανακάλυψαν διάφορες εκστρατείες κατασκοπείας εναντίον ευρωπαϊκών κυβερνητικών οργανισμών και τηλεπικοινωνιακών φορέων. Οι εγκληματίες χρησιμοποιούν διάφορες τακτικές για να κλέψουν ευαίσθητες πληροφορίες από υπολογιστές, συμπεριλαμβανομένου ενός ψεύτικου antivirus. Η συμβουλή είναι να εγκαταστήσετε μια λύση ασφαλείας που μπορεί να ανιχνεύσει και να αποκλείσει αυτές τις απειλές.
Η ομάδα Winter Vivern είναι φιλορωσική και στοχεύει κυρίως την Ουκρανία και τις δυτικές χώρες. Σύμφωνα με τη SentinelOne, μία από τις πιο πρόσφατες επιθέσεις πραγματοποιήθηκε εναντίον του ιταλικού υπουργείου Εξωτερικών. Από τις αρχές του 2023, έχουν ανοίξει διάφορους ιστότοπους που μοιάζουν με κυβερνητικούς ιστότοπους. Τα θύματα λαμβάνουν phishing emails με συνδέσμους προς αυτές τις ψεύτικες τοποθεσίες που φιλοξενούν μολυσμένα αρχεία.
Σε ορισμένες περιπτώσεις, πρόκειται για αρχεία XLS με μακροεντολές που εκτελούν σενάρια PowerShell. Το κακόβουλο λογισμικό που διανέμεται είναι το Aperitif, γραμμένο σε Visual C++ και φιλοξενείται σε παραβιασμένες τοποθεσίες WordPress. Πρόκειται για spyware που συλλέγει πολλές πληροφορίες από τον υπολογιστή, παίρνει στιγμιότυπα οθόνης και κλέβει αρχεία που στη συνέχεια αποστέλλονται στον διακομιστή C2 (command and control).
Η ιδιαιτερότητά του είναι ότι εμφανίζει μια ψεύτικη σάρωση ιών στην οθόνη, ενώ το κατεβαίνει στο παρασκήνιο το κακόβουλο λογισμικό. Οι τακτικές που χρησιμοποιεί η ομάδα Winter Vivern δεν είναι πολύ περίπλοκες, αλλά είναι αρκετά αποτελεσματικές. Μια ενημερωμένη λύση ασφαλείας μπορεί να εντοπίσει και να αποκλείσει αυτού του είδους τις απειλές.
