O governo Russo e organizações de TI estão sendo alvos de uma nova campanha que entrega uma série de backdoors e trojans como parte de uma campanha de spear-phishing codinome EastWind.
As cadeias de ataque são caracterizadas pelo uso de anexos em arquivo RAR contendo um arquivo de atalho do Windows (LNK) que, ao ser aberto, ativa a sequência de infecção, culminando na implantação de malware como o GrewApacha, uma versão atualizada do backdoor CloudSorcerer, e um implante anteriormente não documentado chamado PlugY.
O PlugY é "baixado através do backdoor CloudSorcerer, possui um extenso conjunto de comandos e suporta três protocolos diferentes para comunicação com o servidor de comando e controle", disse a empresa de cibersegurança russa Kaspersky.
O vetor inicial de infecção depende de um arquivo LNK armadilhado, que emprega técnicas de side-loading de DLL para lançar um arquivo DLL malicioso que usa o Dropbox como mecanismo de comunicação para executar comandos de reconhecimento e baixar payloads adicionais.
Entre o malware implantado usando a DLL está o GrewApacha, um backdoor conhecido anteriormente vinculado ao grupo APT31, ligado à China.
Também lançado usando side-loading de DLL, ele utiliza um perfil GitHub controlado pelo atacante como um "dead drop resolver" para armazenar uma string codificada em Base64 do servidor C2 real.
O CloudSorcerer, por outro lado, é uma ferramenta sofisticada de espionagem cibernética usada para monitoramento furtivo, coleta de dados e exfiltração via infraestrutura de nuvem do Microsoft Graph, Yandex Cloud e Dropbox.
Assim como no caso do GrewApacha, a variante atualizada utiliza plataformas legítimas como LiveJournal e Quora como um servidor C2 inicial.
"Como com versões anteriores do CloudSorcerer, as biografias de perfil contêm um token de autenticação criptografado para interagir com o serviço de nuvem", disse a Kaspersky.
Além disso, ele utiliza um mecanismo de proteção baseado em criptografia que garante que o malware seja detonado apenas no computador da vítima, usando uma chave única derivada da função Windows GetTickCount() em tempo de execução.
A terceira família de malware observada nos ataques é o PlugY, um backdoor totalmente equipado que se conecta a um servidor de gerenciamento usando TCP, UDP ou named pipes, e vem com capacidades para executar comandos shell, monitorar a tela do dispositivo, registrar teclas digitadas e capturar o conteúdo da área de transferência.
A Kaspersky disse que uma análise do código-fonte do PlugX revelou semelhanças com um backdoor conhecido chamado DRBControl (também conhecido como Clambling), que foi atribuído a agrupamentos de ameaças com nexus na China rastreados como APT27 e APT41.
"Os atacantes por trás da campanha EastWind usaram serviços de rede populares como servidores de comando - GitHub, Dropbox, Quora, bem como Russian LiveJournal e Yandex Disk", disse a empresa.
A divulgação vem enquanto a Kaspersky também detalhava um ataque de watering hole que envolve comprometer um site legítimo relacionado ao fornecimento de gás na Rússia para distribuir um worm chamado CMoon que pode colher dados confidenciais e de pagamentos, tirar screenshots, baixar malware adicional e lançar ataques de negação de serviço distribuído (DDoS) contra alvos de interesse.
O malware também coleta arquivos e dados de vários navegadores web, carteiras de criptomoedas, aplicativos de mensagens instantâneas, clientes SSH, softwares FTP, aplicativos de gravação e streaming de vídeo, autenticadores, ferramentas de desktop remoto e VPNs.
"O CMoon é um worm escrito em .NET, com ampla funcionalidade para roubo de dados e controle remoto", disse.
Imediatamente após a instalação, o arquivo executável começa a monitorar os drives USB conectados.
Isso permite que você roube arquivos de potencial interesse para os atacantes de mídias removíveis, além de copiar o worm para eles e infectar outros computadores onde o drive será utilizado.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...