Alvos localizados no Azerbaijão foram destacados como parte de uma nova campanha projetada para implantar malware baseado em Rust em sistemas comprometidos.
A empresa de segurança cibernética Deep Instinct está rastreando a operação sob o nome Operation Rusty Flag.
Não foi associada a nenhum ator ou grupo de ameaça conhecido.
"A operação tem pelo menos dois vetores de acesso inicial diferentes", disseram os pesquisadores de segurança Simon Kenin, Ron Ben Yizhak e Mark Vaitzman em uma análise publicada na semana passada. "
Um dos chamarizes usados na operação é um documento modificado que foi usado pelo grupo Storm-0978.
Isso pode ser uma 'bandeira falsa' deliberada."
A cadeia de ataque aproveita um arquivo LNK chamado 1.KARABAKH.jpg.lnk como plataforma de lançamento para recuperar uma segunda carga útil, um instalador MSI, hospedado no Dropbox.
O arquivo de instalação, por sua vez, solta um implante escrito em Rust, um arquivo XML para uma tarefa agendada para executar o implante e um arquivo de imagem de isca que apresenta marcas d'água do símbolo do Ministério da Defesa do Azerbaijão.
Um vetor de infecção alternativo é um documento do Microsoft Office chamado "Overview_of_UWCs_UkraineInNATO_campaign.docx", que explora a
CVE-2017-11882
, uma vulnerabilidade de corrupção de memória de seis anos no Editor de Equações do Microsoft Office, para invocar um URL do Dropbox que hospeda um arquivo MSI diferente servindo uma variante do mesmo backdoor Rust.
O uso de Overview_of_UWCs_UkraineInNATO_campaign.docx é notável, pois uma isca com o mesmo nome de arquivo foi utilizada pelo Storm-0978 (também conhecido como RomCom, Tropical Scorpius, UNC2596 e Void Rabisu) em recentes ataques cibernéticos direcionados à Ucrânia que exploram uma falha de execução remota de código do Office (
CVE-2023-36884
).
"Esta ação parece ser uma tentativa deliberada de falsa bandeira para atribuir este ataque ao Storm-0978", disseram os pesquisadores. O backdoor Rust, um dos quais se disfarça como "WinDefenderHealth.exe", tem capacidades para coletar informações do host comprometido e enviá-las para um servidor controlado pelo atacante.
Os objetivos finais exatos da campanha permanecem incertos neste estágio.
Ao mesmo tempo, a possibilidade de que possa ser um exercício de red team não foi descartada.
"Rust está se tornando mais popular entre os autores de malware", disseram os pesquisadores.
"Os produtos de segurança ainda não estão detectando o malware Rust com precisão, e o processo de engenharia reversa é mais complexo."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...