Sumário executivo
- O CERT da Ucrânia (CERT-UA) divulgou novos detalhes sobre o UAC-0026, que o SentinelLabs confirma estar associado ao suspeito de ameaça chinês conhecido como Scarab.
- A atividade maliciosa representa um dos primeiros exemplos públicos de um agente de ameaças chinês visando a Ucrânia desde o início da invasão.
- Scarab conduziu uma série de campanhas ao longo dos anos, fazendo uso de um backdoor personalizado originalmente conhecido como Scieron, que pode ser o antecessor do HeaderTip.
- Embora as especificidades técnicas variem entre as campanhas, o ator geralmente faz uso de e-mails de phishing contendo documentos de atração relevantes para o alvo, levando à implantação do HeaderTip.
UAC-0026
Em 22 de março de 2022, o CERT-UA publicou o alerta nº 4244, onde compartilhou um resumo rápido e indicadores associados a uma tentativa recente de invasão de um ator que apelidaram de UAC-0026. No alerta, o CERT-UA observou a entrega de um arquivo RAR "Про збереження відеоматеріалів з фіксацією злочинних дій армії російської федерації.rar", que se traduz em “Sobre a preservação de gravações de vídeo de ações criminosas do exército da Federação Russa.rar”. Além disso, eles observam que o arquivo contém um arquivo executável, que abre um documento lure e descarta o arquivo DLL "officecleaner.dat"e um arquivo em lote "officecleaner". O CERT-UA nomeou a DLL maliciosa ‘HeaderTip’ e observa que atividades semelhantes foram registradas em setembro de 2020.
A atividade UAC-0026 é o primeiro exemplo público de um ator de ameaça chinês visando a Ucrânia desde o início da invasão. Embora tenha havido um aumento acentuado nos ataques relatados publicamente contra a Ucrânia na última semana, esses e todos os ataques anteriores se originaram de agentes de ameaças apoiados pela Rússia.
Conexão do HeaderTip ao Scarab APT
Scarab tem uma história relativamente longa de atividade baseada em inteligência de código aberto. O grupo foi identificado pela primeira vez em 2015, enquanto os IOCs associados são arquivados no OTX. Conforme observado na pesquisa anterior, a Scarab opera desde pelo menos 2012, visando um pequeno número de indivíduos em todo o mundo, incluindo Rússia, Estados Unidos e outros. O backdoor implantado pelo Scarab em suas campanhas é mais conhecido como Scieron.
Durante nossa análise da infraestrutura e amostras de malware HeaderTip compartilhadas pelo CERT-UA, identificamos relações entre o UAC-0026 e o Scarab APT.
Avaliamos com alta confiança que a atividade recente do CERT-UA atribuída ao UAC-0026 é o grupo Scarab APT. Um link inicial pode ser feito por meio do design das amostras de malware e seus carregadores associados a partir de pelo menos 2020. Outras relações podem ser identificadas por meio da reutilização da infraestrutura exclusiva do ator entre as famílias de malware associadas aos grupos:
- 508d106ea0a71f2fd360fda518e1e533e7e584ed (Dica de Cabeçalho – 2021)
- 121ea06f391d6b792b3e697191d69dc500436604 (Scieron 2018)
- Dynamic.ddns[.]mobi (servidor C2 reutilizado)
Conforme observado na reportagem de 2015 sobre o Scarab, há várias indicações de que o ator da ameaça fala chinês. Com base em alvos conhecidos desde 2020, incluindo aqueles contra a Ucrânia em março de 2022, além do uso específico do idioma, avaliamos com confiança moderada que Scarab fala chinês e opera sob fins de coleta de inteligência geopolítica.
Documentos de atração
A análise de documentos de atração usados para o comprometimento inicial pode fornecer informações sobre os alvos e as características particulares de seu criador. Por exemplo, em uma campanha de setembro de 2020 visando indivíduos suspeitos das Filipinas, Scarab fez uso de documentos de atração intitulados “Conferência de Contra-Terrorismo em toda a OSCE 2020”. Para contextualizar, a OSCE é a Organização para Segurança e Cooperação na Europa.
Mais recentemente, colegas da indústria notaram um caso em que Scarab esteve envolvido em uma campanha visando organizações diplomáticas europeias durante a retirada dos EUA do Afeganistão.
O documento de atração relatado pelo CERT-UA imita a Polícia Nacional da Ucrânia, com o tema da necessidade de preservar materiais de vídeo de crimes cometidos pelos militares russos.
Os documentos do Lure através das várias campanhas contêm metadados que indicam que o criador original está usando o sistema operacional Windows em uma configuração de idioma chinês. Isso inclui o nome de usuário do sistema definido como “用户” (usuário).
Malware e infraestrutura
Vários métodos foram usados para tentar carregar o malware no sistema de destino. No caso dos documentos de 2020, o usuário deve habilitar as Macros do documento. Na versão mais recente do CERT-UA, o carregador executável controla a instalação com a ajuda de um arquivo de lote enquanto também abre o documento lure. O próprio executável do carregador contém o PDF, o instalador em lote e o malware HeaderTip como dados de recursos.
O arquivo em lote segue um conjunto simples de instruções para definir a DLL HeaderTip, definir a persistência em HKCU\Software\Microsoft\Windows\CurrentVersion\Rune, em seguida, executar HeaderTip. As exportações chamadas nas amostras HeaderTip foram HttpsInite OAService, conforme mostrado aqui.
Os exemplos de HeaderTip são arquivos DLL de 32 bits, escritos em C++ e aproximadamente 9,7 KB. O próprio malware fará solicitações HTTP POST para o servidor C2 definido usando o agente do usuário: "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko". A funcionalidade geral do HeaderTip é bastante limitada a sinalizar a saída para atualizações, potencialmente para que possa atuar como um malware simples de primeiro estágio aguardando um segundo estágio com mais recursos.
O Scarab fez uso repetido de serviços DNS dinâmicos, o que significa que o IP do servidor C2 e os subdomínios não devem ser considerados relacionados. Na verdade, alguns dos serviços de DNS dinâmicos usados pelo Scarab podem facilmente vincular um a vários grupos de APT não relacionados, como o infame relatório CloudHopper ou blogs de malware de leitor de livros de 2015. Embora possam estar associados a APTs chineses, podem indicar mais um conjunto de ferramentas e uma abordagem operacional padrão, em vez de recursos técnicos compartilhados.
Conclusão
Avaliamos com alta confiança que a recente atividade do CERT-UA atribuída ao UAC-0026 é o grupo Scarab APT e representa o primeiro ataque divulgado publicamente à Ucrânia por um APT não russo. O malware HeaderTip e a campanha de phishing associada utilizando documentos habilitados para Macro parecem ser uma tentativa de infecção de primeiro estágio. Neste momento, os objetivos e motivações adicionais do ator da ameaça permanecem obscuros.
Indicadores de Compromisso
| IOCs | Descrição |
| product2020.mrbasic[.]com | Servidor C2 de março de 2022 |
| 8cfad6d23b79f56fb7535a562a106f6d187f84cf | Março de 2022 Arquivo de entrega de arquivos na Ucrânia “Про збереження відеоматеріалів з фіксацією злочинних дій армії російської федерації.rar”ї федерації. |
| e7ef3b033c34f2ac2772c15ad53aa28599f93a51 | Executável do Loader de março de 2022 “officecleaner.dat” |
| fdb8de6f8d5f8ca6e52ce924a72b5c50ce6e5d6a | Documento de atração da Ucrânia de março de 2022 “#2163_02_33-2022.pdf” |
| 4c396041b3c8a8f5dd9db31d0f2051e23802dcd0 | Arquivo em lote da Ucrânia de março de 2022 “officecleaner.bat” |
| 3552c184281abcc14e3b941841b698cfb0ec9f1d | Março de 2022 Ucrânia HeaderTip exemplo “httpshelper.dll” |
| ebook.port25[.]biz | Servidor C2 de setembro de 2020 |
| fde012fbcc65f4ab84d5f7d4799942c3f8792cc3 | Arquivo de entrega de arquivos de setembro de 2020 “Instruções de adesão IMPC 1.20 .rar” |
| e30a24e7367c4a82d283c7c68cff5739319aace9 | Documento de atração de setembro de 2020 “Instruções de adesão IMPC 1.20 .xls” |
| 5cc8ce82fc21add608277384dfaa8139efe8bea5 | Amostras de HeaderTip de setembro de 2020 com base no uso de C2 |
| mert.my03[.]com | Servidor C2 de setembro de 2020 |
| 90c4223887f10f8f9c4ac61f858548d154183d9a | Arquivo de entrega de arquivos de setembro de 2020 “Conferência de Contra-Terrorismo em toda a OSCE 2020.zip” |
| 82f8c69a48fa1fa23ff37a0b0dc23a06a7cb6758 | Documento de atração de setembro de 2020 “Conferência de Contra-Terrorismo em toda a OSCE 2020” |
| b330cf088ba8c75d297d4b65bdbdd8bee9a8385c | Setembro de 2020 HeaderTip sample”officecleaner.dll” |
| 83c4a02e2d627b40c6e58bf82197e113603c4f87 | HeaderTip (Possível pesquisador) |
| 508d106ea0a71f2fd360fda518e1e533e7e584ed | Dica de cabeçalho |
| dynamic.ddns[.]mobi | Servidor C2, sobrepõe-se ao Scieron (b5f2cc8e8580a44a6aefc08f9776516a) |
Fonte: Sentinelone
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
