O Comando Cibernético dos EUA divulgou 20 novas variedades de malware entre os inúmeros softwares maliciosos e ataques cibernéticos usados contra alvos ucranianos nos últimos meses.
Em um alerta esta semana, a ala cibernética do Pentágono divulgou indicadores de comprometimento (IOC) associados a várias variedades de malware que foram encontradas nas redes ucranianas pelo serviço de segurança do país.
“Nossos parceiros ucranianos estão compartilhando ativamente atividades maliciosas que encontram conosco para reforçar a segurança cibernética coletiva, assim como estamos compartilhando com eles”, disse o Comando Cibernético dos EUA em comunicado na quarta-feira.
O alerta dos federais ocorre quando vários pesquisadores de segurança privada publicaram nesta semana sua própria pesquisa de ameaças relacionadas à invasão russa.
A empresa de inteligência de ameaças Mandiant, que está sendo adquirida pelo Google, publicou uma pesquisa detalhando tentativas de invasão de rede por gangues de ciberespionagem conectadas ao governo da Bielorrússia e ao Kremlin.
Essas campanhas visaram organizações ucranianas em fevereiro e março e usaram documentos falsos de segurança pública como isca para fazer com que as vítimas abrissem anexos de spear phishing.
Enquanto isso, também somos informados de que os pesquisadores de segurança da Cisco Talos descobriram em março um tipo de malware “bastante incomum” direcionado a uma “grande empresa de desenvolvimento de software” cujo software é usado por várias organizações estatais ucranianas.
Talos acredita que criminosos patrocinados pelo Estado russo estão por trás dessa campanha, que usa uma versão modificada do backdoor de código aberto GoMet para obter acesso persistente às redes da empresa de software.
Iscas de evacuação usadas como isca de phishing
A pesquisa mais recente da Mandiant sobre espiões cibernéticos patrocinados pelo Estado fornece informações sobre ameaças a dois grupos criminosos, o primeiro dos quais rastreia como UNC1151, e links para o governo da Bielorrússia, mas com a ressalva: “Não podemos descartar contribuições russas para atividades UNC1151 ou Ghostwriter .” Essa gangue também fornece suporte técnico ao grupo pró-russo Ghostwriter para suas campanhas de operações de informação.
Desde o início da guerra, UNC1151 tem como alvo organizações ucranianas e polonesas, e suas tentativas mais recentes usam uma versão modificada do MicroBackdoor e uma isca que se traduz em: “O que fazer? .
MicroBackdoor é um backdoor de cliente que está disponível no GitHub . Mandiant observa que os criminosos estão usando uma versão modificada, que permite que eles façam capturas de tela dos dispositivos das vítimas — essa funcionalidade não existe na versão do GitHub.
Usando uma conta ucraniana comprometida, o UNC1151 enviou esses e-mails de phishing com um arquivo ZIP anexado que continha a carga maliciosa. Depois de enganar as vítimas para que abram o arquivo, o computador da vítima baixa o malware backdoor, que pode fazer upload e download de arquivos, executar comandos, atualizar-se e fazer capturas de tela. O MicroBackdoor também suporta proxies HTTP, Socks4 e Socks5 para rotear o tráfego.
A pesquisa da Mandiant também detalha um segundo grupo de espionagem, UNC2589, que a empresa de segurança acredita “atuar em apoio aos interesses do governo russo” e agora é culpado pelos ataques de limpeza de dados WhisperGate em janeiro (esse malware de limpeza de dados também foi vinculado ao Ghostwriter e / ou outra gangue de malfeitores do governo russo ou bielorrusso. Basta dizer que é um grupo pró-Kremlin).
“Acreditamos que o UNC2589 atua em apoio aos objetivos do governo russo, mas não descobrimos evidências para vinculá-lo de forma conclusiva”, segundo Mandiant.
“Apesar de rastrearmos o UNC2589 como um conjunto de atividades de espionagem cibernética, atribuímos o ataque destrutivo de 14 de janeiro à Ucrânia usando o PAYWIPE (WHISPERGATE) ao UNC2589”, disse o relatório. “Acreditamos que o UNC2589 pode ser capaz de se envolver em operações cibernéticas disruptivas ou destrutivas no futuro”.
Mais recentemente, a equipe da Mandiant descobriu um e-mail de phishing malicioso usando um plano de evacuação com tema de plano de evacuação atraído e repleto de arquivos de extração automática (SFX) que executam e instalam uma versão em árabe do software Remote Utilities.
Uma vez executado no dispositivo da vítima, o UNC2589 usa o código para fazer download e upload de arquivos para servidores de comando e controle (C2), estabelecer persistência por meio de um serviço de inicialização e executar malware remotamente. Em 27 de março, a Mandiant disse que descobriu essa suspeita campanha UNC2589 que estava lançando malware Grimplant e Graphsteel em dispositivos de entidades ucranianas direcionadas.
Grimplant, um backdoor escrito em GO, realiza uma pesquisa de sistema que depois carrega no servidor C2 e pode executar comandos remotamente no dispositivo da vítima. Ele se comunica com o servidor C2 pelo Google RPC usando TLS.
Enquanto isso, o Graphsteel rouba dados, incluindo credenciais do navegador, enumera as unidades D a Z e carrega arquivos para o servidor C2. Ele também tenta coletar dados de e-mail do Mozilla Thunderbird.
Novo backdoor visa empresa de desenvolvimento de software
A Cisco Talos também descobriu malware modificado sendo usado contra organizações ucranianas, especificamente uma grande empresa de software cujos produtos são usados por agências estatais no país.
Esta campanha usou uma versão modificada do backdoor GoMet de código aberto, e os pesquisadores de segurança acreditam que se originou de um grupo patrocinado pelo estado russo – ou pelo menos simpatizantes do Kremlin.
“Como esta empresa está envolvida no desenvolvimento de software, não podemos ignorar a possibilidade de que a intenção do agente da ameaça era obter acesso à fonte de um ataque no estilo da cadeia de suprimentos, embora, neste momento, não tenhamos nenhuma evidência de que eles foram bem-sucedidos”. disse o relatório.
O Talos detectou os malfeitores usando uma atualização falsa do Windows, criada pelo conta-gotas GotMet, e uma “abordagem um tanto nova para a persistência”, de acordo com pesquisadores de segurança.
“Ele enumerou os valores de execução automática e, em vez de criar um novo, substituiu um dos executáveis de execução automática de goodware existentes pelo malware”, explicou Talos. “Isso potencialmente poderia evitar a detecção ou dificultar a análise forense”.
O malware tem uma atriz de IP C2 codificada e se comunica com o servidor C2 via HTTPS na porta padrão.
Além disso, o certificado autoassinado neste servidor foi emitido em 4 de abril de 2021, o que Talos observou que indica que a preparação para esta campanha cibernética começou no ano passado.
Fonte: The Register
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
