A Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos realizados por um ator de ameaças chamado UAC-0099, direcionados a agências governamentais, forças de defesa e empresas do complexo industrial de defesa no país.
Os ataques, que utilizam e-mails de phishing como vetor de comprometimento inicial, são usados para entregar famílias de malware como MATCHBOIL, MATCHWOK e DRAGSTARE.
UAC-0099, documentado publicamente pela agência pela primeira vez em junho de 2023, tem um histórico de direcionar entidades ucranianas para fins de espionagem.
Ataques anteriores foram observados explorando falhas de segurança no software WinRAR (
CVE-2023-38831
, pontuação CVSS: 7.8) para propagar um malware chamado LONEPAGE.
A cadeia de infecção mais recente envolve o uso de iscas de e-mail relacionadas a intimações judiciais para atrair os destinatários a clicar em links que são encurtados usando serviços de encurtamento de URL como o Cuttly.
Esses links, enviados através de endereços de e-mail UKR.NET, apontam para um arquivo de arquivo duplo contendo um Arquivo de Aplicativo HTML (HTA).
A execução do payload útil HTA dispara o lançamento de um arquivo de Script Visual Basic ofuscado que, por sua vez, cria uma tarefa agendada para persistência e, finalmente, executa um carregador chamado MATCHBOIL, um programa baseado em C# projetado para soltar malware adicional no host.
Isso inclui um backdoor chamado MATCHWOK e um coletor de informações denominado DRAGSTARE.
Também escritos usando a linguagem de programação C#, MATCHWOK é capaz de executar comandos PowerShell e passar os resultados da execução para um servidor remoto.
DRAGSTARE, por outro lado, é equipado para coletar informações do sistema, dados de navegadores da web, arquivos que correspondem a uma lista específica de extensões (".docx", ".doc", ".xls", ".txt", ".ovpn", ".rdp", ".txt" e ".pdf") das pastas "Desktop", "Documents", "Downloads", capturas de tela e executar comandos PowerShell recebidos de um servidor controlado pelo atacante.
A divulgação ocorre pouco mais de um mês depois de a ESET publicar um relatório detalhado catalogando os ataques de "spear phishing" incessantes do Gamaredon contra entidades ucranianas em 2024, detalhando seu uso de seis novas ferramentas de malware que são projetadas para furtividade, persistência e movimento lateral:
- PteroDespair, uma ferramenta de reconhecimento PowerShell para coletar dados diagnósticos sobre malware previamente implantado;
- PteroTickle, um armador de PowerShell que visa aplicativos Python convertidos em executáveis em drives fixos e removíveis para facilitar o movimento lateral, injetando código que provavelmente serve para PteroPSLoad ou outro downloader PowerShell;
- PteroGraphin, uma ferramenta PowerShell para estabelecer persistência usando complementos do Microsoft Excel e tarefas agendadas, além de criar um canal de comunicação criptografado para entrega de payload, através da API Telegraph;
- PteroStew, um downloader VBScript semelhante ao PteroSand e PteroRisk que armazena seu código em fluxos de dados alternativos associados a arquivos benignos no sistema da vítima;
- PteroQuark, um downloader VBScript introduzido como um novo componente dentro da versão VBScript do armador PteroLNK;
- PteroBox, um ladrão de arquivos PowerShell que se assemelha ao PteroPSDoor, mas exfiltra arquivos roubados para o Dropbox.
"As atividades de spearphishing do Gamaredon intensificaram significativamente durante o segundo semestre de 2024," disse o pesquisador de segurança Zoltán Rusnák.
"As campanhas geralmente duravam de um a cinco dias consecutivos, com e-mails contendo arquivos maliciosos (RAR, ZIP, 7z) ou arquivos XHTML empregando técnicas de contrabando HTML."
Os ataques geralmente resultam na entrega de arquivos HTA ou LNK maliciosos que executam downloaders VBScript incorporados, como PteroSand, além de distribuir versões atualizadas de suas ferramentas existentes, como PteroPSDoor, PteroLNK, PteroVDoor e PteroPSLoad.
Outros aspectos notáveis do tradecraft do ator de ameaças alinhado com a Rússia incluem o uso de técnicas de DNS fast-flux e a dependência de serviços legítimos de terceiros como Telegram, Telegraph, Codeberg e túneis Cloudflare para ofuscar sua infraestrutura de comando e controle (C2).
"Apesar das limitações de capacidade observáveis e do abandono de ferramentas mais antigas, Gamaredon permanece um ator de ameaça significativo devido à sua contínua inovação, campanhas agressivas de spearphishing e esforços persistentes para evadir detecções," disse a ESET.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...