Um grupo de hackers rastreado como 'UAC-0184' foi observado utilizando arquivos de imagem esteganográfica para entregar o trojan de acesso remoto Remcos (RAT) nos sistemas de uma entidade ucraniana operando na Finlândia.
O UAC-0184 são atores de ameaça que a Trend Micro viu realizando ataques no final de 2023 contra as Forças Armadas da Ucrânia, também usando o mesmo malware.
A última atividade do grupo de ameaças, que começou no início de janeiro de 2024 e foi observada por analistas da Morphisec, mostra que eles expandiram para alvo organizações fora da Ucrânia que estão associadas ao seu alvo estratégico.
A Morphisec optou por não fornecer informações técnicas ou detalhes específicos sobre a vítima devido à confidencialidade, mas ainda compartilhou alguns dados sobre os métodos de ataque empregados.
A esteganografia é uma tática bem documentada, mas raramente vista, que envolve codificar código malicioso nos dados de pixel das imagens para evadir a detecção por soluções que usam regras baseadas em assinaturas.
Normalmente, os pequenos pedaços de payload na imagem não resultam em uma aparência de imagem alterada, mas no caso visto pela Morphisec, a imagem parece visivelmente distorcida.
Essa distorção, no entanto, só seria prejudicial para os atacantes no caso de inspeção manual, e supondo que não haja nenhuma, ainda funciona para evadir detecção de produtos de segurança automatizados.
A cadeia de ataque observada pela Morphisec começa com um email de phishing cuidadosamente elaborado supostamente da 3ª Brigada de Assalto Separada da Ucrânia ou das Forças de Defesa de Israel.
Os destinatários enganados que abriram o anexo do arquivo de atalho iniciam uma cadeia de infecção que lança um executável (DockerSystem_Gzv3.exe), que por sua vez ativa um carregador de malware modular chamado 'IDAT'.
"Distinguido por sua arquitetura modular, o IDAT emprega recursos exclusivos como injeção e execução de código, diferenciando-o de carregadores convencionais", descreve a Morphisec.
"Ele emprega técnicas sofisticadas como payload dinâmica das funções API do Windows, testes de conectividade HTTP, listas de bloqueio de processos e syscalls para evadir detecção."
Para permanecer furtivo, as chamadas de API não são escritas no código em forma de texto simples, mas são resolvidas em tempo de execução usando uma chave de descriptografia que faz parte da cadeia de ataque.
O IDAT extrai a payload codificada que está embutida no arquivo de imagem PNG malicioso e, em seguida, descriptografa e executa-o na memória, um processo que envolve várias etapas e módulos adicionais que são injetados em processos legítimos (Explorer.exe) e arquivos DLL (PLA.dll).
A etapa final envolve a descriptografia e execução do Remcos RAT, um malware comum que os hackers usam como uma backdoor nos sistemas comprometidos, permitindo o roubo de dados furtivo e o monitoramento da atividade da vítima.
A Morphisec diz que o IDAT também entrega malware como Danabot, SystemBC e RedLine Stealer, mas não está claro se essas famílias foram vistas nos computadores baseados na Finlândia ou em ataques diferentes.
A lista completa dos indicadores de comprometimento (IoC) para esta campanha pode ser encontrada neste relatório do CERT-UA.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...