A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertou para uma nova campanha de phishing orquestrada pelo grupo APT28 ligado à Rússia para implantar malwares anteriormente não documentados, como OCEANMAP, MASEPIE e STEELHOOK para coletar informações sensíveis.
A atividade, que foi detectada pela agência entre 15 e 25 de dezembro de 2023, tem como alvo entidades governamentais com mensagens de e-mail incentivando os destinatários a clicar em um link para visualizar um documento.
No entanto, ao contrário, os links redirecionam para recursos web maliciosos que abusam de JavaScript e do manipulador de protocolo "search-ms:" URI para soltar um arquivo de atalho do Windows (LNK) que inicia comandos PowerShell para ativar uma cadeia de infecção para um novo malware conhecido como MASEPIE.
MASEPIE é uma ferramenta baseada em Python para baixar/enviar arquivos e executar comandos, com comunicações com o servidor de comando e controle (C2) ocorrendo através de um canal criptografado usando o protocolo TCP.
Os ataques abrem caminho para a implantação de malwares adicionais, incluindo um script PowerShell chamado STEELHOOK que é capaz de coletar dados do navegador web e exportá-los para um servidor controlado pelo ator em formato codificado em Base64.
Um backdoor baseado em C# chamado OCEANMAP que é projetado para executar comandos usando cmd.exe também é entregue.
"O protocolo IMAP é usado como um canal de controle", disse a CERT-UA, adicionando que a persistência é alcançada criando um arquivo URL chamado "VMSearch.url" na pasta de inicialização do Windows.
"Comandos, na forma codificada em Base64, estão contidos nos 'Rascunhos' dos respectivos diretórios de email; cada um dos rascunhos contém o nome do computador, o nome do usuário e a versão do sistema operacional.
Os resultados dos comandos são armazenados no diretório da caixa de entrada."
A agência apontou ainda que as atividades de reconhecimento e movimentação lateral são realizadas dentro de uma hora após a inicialização do comprometimento, aproveitando ferramentas como Impacket e SMBExec.
A revelação ocorre semanas após a IBM X-Force revelar o uso de armadilhas relacionadas à guerra em curso entre Israel-Hamas pelo APT28 para facilitar a entrega de um backdoor personalizado chamado HeadLace.
Nas últimas semanas, o prolífico grupo de hackers apoiado pelo Kremlin também foi atribuído à exploração de uma falha de segurança crítica agora corrigida em seu serviço de email Outlook (
CVE-2023-23397
, pontuação CVSS: 9.8) para obter acesso não autorizado às contas das vítimas nos servidores Exchange.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...