CERT-UA descobre nova onda de malwares distribuindo OCEANMAP, MASEPIE, STEELHOOK
29 de Dezembro de 2023

A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou para uma nova campanha de phishing orquestrada pelo grupo APT28 ligado à Rússia para implantar malwares anteriormente não documentados, como OCEANMAP, MASEPIE e STEELHOOK para coletar informações sensíveis.

A atividade, que foi detectada pela agência entre 15 e 25 de dezembro de 2023, tem como alvo entidades governamentais com mensagens de e-mail incentivando os destinatários a clicar em um link para visualizar um documento.

No entanto, ao contrário, os links redirecionam para recursos web maliciosos que abusam de JavaScript e do manipulador de protocolo "search-ms:" URI para soltar um arquivo de atalho do Windows (LNK) que inicia comandos PowerShell para ativar uma cadeia de infecção para um novo malware conhecido como MASEPIE.

MASEPIE é uma ferramenta baseada em Python para baixar/enviar arquivos e executar comandos, com comunicações com o servidor de comando e controle (C2) ocorrendo através de um canal criptografado usando o protocolo TCP.

Os ataques abrem caminho para a implantação de malwares adicionais, incluindo um script PowerShell chamado STEELHOOK que é capaz de coletar dados do navegador web e exportá-los para um servidor controlado pelo ator em formato codificado em Base64.

Um backdoor baseado em C# chamado OCEANMAP que é projetado para executar comandos usando cmd.exe também é entregue.

"O protocolo IMAP é usado como um canal de controle", disse a CERT-UA, adicionando que a persistência é alcançada criando um arquivo URL chamado "VMSearch.url" na pasta de inicialização do Windows.

"Comandos, na forma codificada em Base64, estão contidos nos 'Rascunhos' dos respectivos diretórios de email; cada um dos rascunhos contém o nome do computador, o nome do usuário e a versão do sistema operacional.

Os resultados dos comandos são armazenados no diretório da caixa de entrada."

A agência apontou ainda que as atividades de reconhecimento e movimentação lateral são realizadas dentro de uma hora após a inicialização do comprometimento, aproveitando ferramentas como Impacket e SMBExec.

A revelação ocorre semanas após a IBM X-Force revelar o uso de armadilhas relacionadas à guerra em curso entre Israel-Hamas pelo APT28 para facilitar a entrega de um backdoor personalizado chamado HeadLace.

Nas últimas semanas, o prolífico grupo de hackers apoiado pelo Kremlin também foi atribuído à exploração de uma falha de segurança crítica agora corrigida em seu serviço de email Outlook ( CVE-2023-23397 , pontuação CVSS: 9.8) para obter acesso não autorizado às contas das vítimas nos servidores Exchange.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...