blank

blank

Os especialistas em inteligência de ameaças cibernéticas da BiZone descobriram um novo grupo que usa software presumivelmente legítimo para interferir em organizações governamentais. Uma característica marcante desses atacantes é o uso de ferramentas populares que são fáceis de detectar e bloquear.

Principais conclusões

  • Organizações públicas na Rússia e Belarus continuam sendo um alvo popular para espionagem.
  • Os adversários conseguiram explorar com eficiência até mesmo o malware do tipo RAT* disseminado para obter acesso inicial.

Ataques direcionados

Os ataques do grupo Sticky Werewolf foram direcionados a uma variedade de organizações públicas na Rússia e Belarus, incluindo ministérios, agências governamentais e empresas estatais. Os atacantes usaram uma variedade de técnicas para obter acesso às redes das vítimas, incluindo engenharia social, phishing e exploração de vulnerabilidades.

Os links de phishing continham arquivos maliciosos .exeou .scrextensões mascaradas como documentos do Microsoft Word ou PDF. Clicar nesse arquivo abriu o documento legítimo com o formato adequado e instalou o NetWire RAT. Por exemplo, um aviso de emergência do EMERCOM da Rússia foi utilizado como documento destinado a distrair a vítima (fig. 1).

blank
Figura 1. Exemplo de documento utilizado pelos adversários

Outro exemplo é um pedido judicial (fig. 2).

blank
Figura 2. Exemplo de documento utilizado pelos adversários

Quanto aos ataques às organizações bielorrussas, entre os documentos utilizados estava uma receita para eliminar algumas violações do código legal (fig. 3).

blank
Figura 3. Exemplo de documento utilizado pelos adversários

 

Software legítimo

Uma característica marcante dos ataques do Sticky Werewolf é o uso de software legítimo para se infiltrar nas redes das vítimas. Os atacantes usaram ferramentas populares, como o Microsoft Office e o Adobe Acrobat Reader, para instalar malware em computadores das vítimas.

Dificuldades de detecção

O uso de software legítimo torna os ataques do Sticky Werewolf difíceis de detectar. Os malwares utilizados são frequentemente distribuídos como atualizações ou complementos legítimos, o que dificulta a identificação e o bloqueio.

Recomendações

As organizações públicas na Rússia e Belarus devem tomar medidas para proteger suas redes contra ataques cibernéticos. Essas medidas devem incluir:

  • Treinar os funcionários sobre segurança cibernética
  • Implementar soluções de segurança cibernética robustas
  • Manter o software atualizado

Onde procurar vestígios de Sticky Werewolf

  1. Cuidado com executáveis ​​suspeitos executados em pastas temporárias.
  2. Rastreie a aparência de executáveis ​​mascarados como aplicativos legítimos em locais de arquivos incomuns.
  3. Monitore o acesso de processos suspeitos a arquivos com dados de autenticação, relacionados a navegadores, email, etc.

MITRE ATT&CK

blank

Indicadores de compromisso

  • 185.12.14[.]32:666;
  • yandeksdisk[.]org;
  • diskonline[.]net;
  • 078859c7dee046b193786027d5267be7724758810bdbc2ac5dd6da0ebb4e26bb;
  • 9162ccb4816d889787a7e25ba680684afca1d7f3679c856ceedaf6bf8991e486.

Conclusão

Os ataques do Sticky Werewolf são um lembrete de que as organizações públicas na Rússia e Belarus continuam sendo um alvo popular para espionagem. As organizações devem tomar medidas para proteger suas redes contra essas ameaças.

Notas:

  • RAT: Remote Access Trojan, um tipo de malware que permite aos atacantes controlar remotamente um computador infectado.

ARTIGOS RELACIONADOSMais do autor