blank

blank

Quando a Rússia invadiu a Ucrânia, nossos pesquisadores também observaram vários supostos ataques cibernéticos perpetrados por diferentes grupos. Nossas equipes de pesquisa verificaram e validaram dados internos e relatórios externos para fornecer informações precisas que podem ser usadas para fortalecer as defesas contra esses ataques. Atualizaremos continuamente este blog com ameaças validadas à medida que mais eventos ocorrerem.

A invasão russa da Ucrânia, que começou em 24 de fevereiro, está em foco nas notícias. Juntamente com as batalhas físicas no terreno, também houve supostos ataques cibernéticos perpetrados por diferentes indivíduos, atores de ameaças e possivelmente até grupos patrocinados pelo Estado.

A extensa quantidade de informações que circulam torna difícil determinar a veracidade desses ataques cibernéticos, muito menos atribuí-los com precisão a um determinado indivíduo ou grupo. É fácil espalhar desinformação online, e há muitos incentivos para que muitas partes o façam, considerando os importantes papéis que a informação e a inteligência desempenham neste conflito. Também é possível que alguns atores de ameaças estejam capitalizando a situação, apesar de não estarem diretamente envolvidos no conflito.

Nós compilamos todos os materiais que nossas equipes de pesquisa verificaram e validaram nesta entrada de blog para fornecer aos nossos clientes informações precisas que eles podem usar para seu benefício e proteção. É importante observar que atualizaremos continuamente este blog com ameaças validadas à medida que mais eventos ocorrerem.

Declaração de apoio de Conti ao governo russo 

Em 25 de fevereiro de 2022, o grupo de ransomware Conti anunciou seu “apoio total” ao governo russo e sua intenção de contra-atacar qualquer um que organize ataques cibernéticos ou atividades de guerra contra a Rússia. Esta mensagem foi postada no site de vazamento da Conti News.

Poucas horas depois de postar esta declaração, o grupo suavizou sua posição, embora não esteja claro o porquê. A Conti é um dos grupos mais profissionais entre as gangues criminosas do crime organizado (OCGs), e tem subgrupos dedicados semelhantes aos departamentos de uma empresa tradicional. Portanto, é possível que alguns membros não tenham concordado com a declaração inicial do grupo e tenham recuado.

blank
Figura 1. Declaração inicial do grupo de ransomware Conti declarando seu apoio ao governo russo
blank
Figura 2. O extrato atualizado da Conti

O conjunto de intrusão Conti, que a Trend Micro rastreia sob o apelido de Water Goblin, permaneceu ativo apesar de outros grupos de ransomware bem estabelecidos serem encerrados após as sanções do governo. Também observamos um aumento no volume de atividade do malware BazarLoader – um facilitador importante para ataques Conti – desde o início de fevereiro de 2022.

Os logs de bate-papo do Conti vazaram 

Enquanto isso, fontes externas relataram que os bate-papos dos operadores da Conti vazaram por um pesquisador de segurança ucraniano que teve acesso ao back-end do servidor de bate-papo XMPP da Conti. A Trend Micro Research extraiu os logs e encontrou alguns artefatos que podem ser usados ​​para mapear alguns indicadores de comprometimento (IOCs), que listaremos em uma seção posterior deste blog.

As mensagens, que incluíam negociações de resgate e endereços de Bitcoin, podem ser usadas por empresas de segurança e policiais para identificar as técnicas e ferramentas de ataque usadas pela gangue Conti.

O site de cebola da Conti (contirec7nchr45rx6ympez5rjldibnqzh7lsa56lvjvaeywhvoj3wad.onion) também está ativo no momento. Com base nisso, identificamos alguns arquivos Conti recentes como Ransom.Win32.CONTI.SMYXBLD.

Gangue tempestuosa apoia a Rússia

Estamos vendo alguns atos maliciosos encorajadores contra ucranianos e russos, mas alguns grupos optam por apoiar apenas um. A gangue do ransomware Stormous, conhecida por desfiguração de sites e roubo de informações, se apresenta como um grupo de hackers de língua árabe. O grupo está ativo desde 2021 e recentemente anunciou oficialmente seu apoio ao governo russo e sua intenção de atingir instituições governamentais ucranianas, como o Ministério das Relações Exteriores da Ucrânia.

blank
Figura 3. O anúncio do grupo Stormous de sua intenção de atingir a Ucrânia, conforme visto no Twitter deste pesquisador de segurança: https://twitter.com/Cyberknow20/status/1498434090206314498

Ao analisar uma amostra do malware do grupo, descobrimos que, após a infiltração, o malware permite que o agente acesse e implante diferentes cargas personalizadas no servidor afetado por meio de upload remoto e recursos de código aberto, como o Pastebin. Seus recursos, que incluem soltar malware, criptografia e enviar uma nota de resgate, podem ser difíceis de identificar, pois o ator pode modificar as chaves de criptografia e descriptografia, bem como copiar mensagens de resgate à solta. Além disso, como o backdoor ou ransomware do ator é baseado em PHP, ele pode ser modificado rapidamente com o mínimo de esforço.

blank
Figura 4. Painéis usados ​​pelo grupo Stormous ransomware, com duas seleções: “Backdoor” e “Python Ransomware”

Outras descobertas notáveis 

Além disso, os botnets Emotet (Epochs 4 e 5) permaneceram altamente ativos desde o ressurgimento do Emotet em novembro de 2021, com alguns períodos esporádicos de inatividade. Ambas as famílias continuam a lançar ativamente os sinalizadores Cobalt Strike.

Tanto o BazarLoader quanto o Emotet continuam lançando beacons Cobalt Strike como parte de suas infecções de segundo estágio. Com relação à Conti, estamos acompanhando a implantação regular de nova infraestrutura de comando e controle (C&C) para os sinalizadores de comando Cobalt Strike. Vale a pena notar que ainda não observamos um ataque Conti após uma infecção por Emotet desde novembro de 2021.

Também temos um instantâneo de atividades maliciosas mostrando como alguns atores podem estar tentando capitalizar a crise. Comparamos nossos dados de janeiro e fevereiro e vimos que URLs e e-mails maliciosos tentando atrair usuários com o assunto “Ucrânia” aumentaram acentuadamente no final de fevereiro.

blank
Figura 5. Atividade on-line e de e-mail mal-intencionada com referência à Ucrânia em fevereiro de 2022

E-mails de spam relacionados à Ucrânia 

Estamos vendo novos golpes e variantes de ameaças mais antigas aparecerem diariamente. Usando nosso honeypot, também encontramos e-mails de spam relacionados à Ucrânia que visam tirar proveito da situação por meio de doações e outros golpes. Esses e-mails de spam também eliminam o malware Ave Maria. Fornecemos IOCs na seção relevante deste blog.

Fornecemos alguns exemplos aqui através das seguintes capturas de tela:

blank

blank

blank

blank
Figura 6. Exemplos de golpes visando tirar proveito do conflito

A Trend Micro continua a encontrar e detectar ativamente essas ameaças antes que possam causar danos aos nossos clientes.

Analisando relatórios do CERT-UA

Relatórios de fora da Trend Micro forneceram informações valiosas sobre os supostos ataques cibernéticos. Em particular, a Equipe de Resposta a Emergências de Computadores da Ucrânia ou CERT-UA divulgou detalhes importantes sobre os ataques lançados contra alvos ucranianos. Nossos próprios pesquisadores de ameaças também analisaram e investigaram as informações mais recentes. Abaixo está uma linha do tempo de ataques significativos registrados pelo CERT-UA.

blank
Figura 7. Incidentes de segurança na Ucrânia relatados a partir de janeiro de 2022

As atividades hostis no ciberespaço provavelmente aumentarão à medida que a tensão aumentar. Ciberataques direcionados à Ucrânia também podem se estender inadvertidamente a outros países e alvos desavisados ​​podem sofrer ricochetes de ataques, semelhantes a balas perdidas. Portanto, é importante que todos – independentemente da localização geográfica – estejam cientes dos incidentes que ocorrem na Ucrânia.

As seções a seguir fornecem uma análise e uma avaliação, conduzida pela Trend Micro, de três ataques cibernéticos relatados pelo CERT-UA.

Ataque cibernético usando WhisperGate

O CERT-UA informou que entre 13 e 14 de janeiro de 2022, aproximadamente 70 sites de agências governamentais da Ucrânia foram atacados, resultando na modificação do conteúdo do site e corrupção do sistema. Ataques à cadeia de suprimentos, OctoberCMS (um sistema de gerenciamento de conteúdo auto-hospedado usado por empresas) e a vulnerabilidade Log4j são suspeitos de serem os pontos de entrada.

Alguns desses ataques envolveram corrupção do sistema por malware. O diagrama na Figura 8 ilustra a cadeia de infecção do malware observada no ataque. Listamos os nomes de malware identificados pelo CERT-UA aqui.

blank
Figura 8. Diagrama relacional de malware visto em um ataque cibernético usando o WhisperGate
  • BootPatch: Este malware destrói o Master Boot Record (MBR) para tornar os computadores não inicializáveis.
  • WhisperGate: Este malware baixa e executa carga adicional do servidor C&C construído no Discord. 
  • WhisperKill: Este malware, baixado pelo WhisperGate, destrói arquivos com extensões específicas.

O WhisperKill foi projetado para destruir e renomear arquivos em unidades conectadas que correspondam às extensões de arquivo mostradas na Figura 9. Em seguida, ele termina e se remove. WhisperKill enumera as unidades de A a Z e destrói arquivos em unidades que são do Tipo 3 (DRIVE_FIXED) ou 4 (DRIVE_REMOTE), conforme mostrado na Figura 10.

blank
Figura 9. Lista de destinos de extensão de arquivo para destruição, definidos em uma amostra de malware
blank
Figura 10. Instrução de substituição de arquivo

Em 24 de fevereiro, também houve relatos de outro malware de limpeza mais sofisticado com a capacidade de destruir o MBR e os arquivos nas unidades. O malware é chamado HermeticWiper (também conhecido como FoxBlade).

Ciberataques usando SaintBot 

Em janeiro de 2022, houve relatos de uma série de ataques cibernéticos que começaram com e-mails de spear phishing disfarçados de mensagens do Serviço Nacional de Saúde da Ucrânia. Os e-mails foram anexados com um documento e dois arquivos de atalho, onde um arquivo de atalho baixa e executa o malware OutSteel usando o PowerShell. O malware OutSteel então baixa e executa o malware SaintBot. Em fevereiro de 2022, também foram relatados e-mails de spear phishing com o objetivo de distribuir o malware SaintBot disfarçado de mensagens da Polícia da Ucrânia.

O malware SaintBot foi projetado para ficar inativo quando o Identificador de Código de Idioma (LCID) do dispositivo infectado for Rússia, Ucrânia, Bielorrússia, Armênia, Cazaquistão ou Moldávia (como visto na Figura 11). A intenção por trás disso não é clara, e a inclusão da Ucrânia pode ser um erro, considerando que os e-mails de spear phishing estão claramente visando a Ucrânia.

blank
Figura 11. Instrução para verificar LCID

Esta amostra de malware tenta contornar o controle de conta de usuário (UAC) explorando o Fodhelper, que é introduzido a partir da plataforma Windows 10. Ao executar o Fodhelper e adicionar uma entrada de registro (mostrada na Figura 12), o SaintBot pode executar sua própria cópia em uma pasta de inicialização com privilégio administrativo.

blank
Figura 12. Entrada de registro que permite o desvio do UAC explorando o Fodhelper

Após o retorno de chamada, o SaintBot coleta informações dos computadores infectados, criptografa e codifica os dados com XOR e BASE64. Os dados são anexados a um prefixo e enviados ao servidor C&C com uma solicitação POST.

Esta amostra de malware contém os seguintes servidores C&C:

  • hxxp://8003659902[.]space/wp-adm/gate.php 
  • hxxp://smm2021[.]net/wp-adm/gate.php 
  • hxxp://8003659902[.]site/wp-adm/gate.php

Ataque cibernético realizado pela Gamaredon

Gamaredon é um ator de ameaças que está ativo desde 2013. Em março de 2020, ataques foram observados no Japão e foram considerados balas perdidas. Em novembro de 2021, o Serviço de Segurança da Ucrânia fez um anúncio público que atribuiu a Gamaredon ao Serviço Federal de Segurança da Federação Russa (FSB). O Serviço de Segurança da Ucrânia também publicou detalhes de metodologias de ataque e uma escuta telefônica. A Trend Micro observou metodologias de ataque semelhantes.

Os ataques começam com e-mails de spear phishing com arquivos de documentos que causam uma injeção remota de modelo. Em um ataque cibernético observado em 1º de fevereiro de 2022, foi baixado um modelo de documento que incluía uma macro maliciosa ofuscada. A macro abre furtivamente um documento (~~AddFromString) onde a função “VZ01” é executada (Application.Run “VZ01”) e a fecha. Isso é ilustrado na Figura 13.

Este método, onde uma macro maliciosa é inserida em outro documento, foi observado em um incidente passado que teria sido conduzido pela Gamaredon.

blank
Figura 13. Código que insere e executa o código Virtual Basic for Applications (VBA) em um documento do Word recém-aberto

A macro decodificada e inserida descarta o VBScript em %APPDATA%:define (ADS) e, em seguida, uma tarefa agendada para executar o script é registrada. Esse script baixa e executa uma carga adicional do servidor C&C, semelhante a outros ataques observados. O retorno de chamada contém um ID de PC infectado no User Agent, disfarçado como um navegador Yandex.

Veja a seguir a URL em que a carga adicional é solicitada:

  • hxxp://<endereço IP de deep.deserts.coagula[.]online>/barefooted.cfg<Tempo atual + 1 segundo> (por exemplo, hxxp://10.172.0[.]3/barefooted.cfg2022/02/03 %2020:49:31)

Se o tamanho do conteúdo da resposta for superior a 16.965 bytes, o conteúdo baixado será armazenado como “%USERPROFILE%\Downloads\demand.exe.tmp” e executado após ser renomeado como “%USERPROFILE%\Downloads\demand.exe”.

 

Recomendações de segurança e práticas recomendadas 

A atividade maliciosa continua a se espalhar e os atores estão usando novas ferramentas e truques para atrair as vítimas. Nesta seção, discutimos medidas de mitigação para ajudar a se preparar para uma ampla variedade de ataques:

  • Evite expor a infraestrutura à Internet, a menos que seja necessário.
  • Certifique-se de que a autenticação multifator (MFA) esteja habilitada para todas as contas, não apenas para as importantes.
  • Garanta a implantação oportuna de patches, priorizando a infraestrutura voltada para a Internet e sistemas confidenciais, como controladores de domínio. 
  • Ative imediatamente as medidas de resposta a incidentes caso haja sinais de alerta que indiquem atividades do BazarLoader, Emotet e Cobalt Strike.   

 

Conclusão

Nessas circunstâncias tensas, as informações são enviadas de pontos de vista conflitantes. Além disso, mesmo que os mesmos fatos sejam relatados corretamente, as impressões entregues podem variar devido a uma diferença de perspectivas.

Também vale a pena notar que a emissão de informações falsas é sempre uma possibilidade – seja feita intencionalmente ou não. Como resultado de tais informações, pode ocorrer confusão desnecessária e mais divisões. A seguir estão algumas medidas que nossos pesquisadores tomam para entender as informações da maneira mais correta possível:

  • Esteja ciente da possibilidade de ter suposições (preconceitos) e erros dentro da verdade que acreditamos.
  • Esteja ciente de que podemos estar no centro da propaganda.
  • Reconheça que não existe uma fonte de informação completamente neutra e imparcial.
  • Distinguir entre “fatos” e “opiniões” ou “suposições” dentro da informação.
  • Quando possível, rastreie a fonte primária de informações importantes. Uma maneira de fazer isso seria verificar a fonte dos artigos citados e revisar seu conteúdo completo e o contexto de suas declarações.
  • Consulte uma fonte confiável de informações, como artigos revisados ​​por vários especialistas antes do lançamento, bem como artigos escritos por especialistas.

Para obter uma lista completa de IOCs, faça o download deste documento.

 

Fonte: Trend Micro

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor