Uma entidade de infraestrutura crítica na Ucrânia foi alvo de um malware wiper de dados anteriormente desconhecido chamado PathWiper, de acordo com novas descobertas da Cisco Talos.
"O ataque foi realizado por meio de um framework legítimo de administração de endpoint, indicando que os atacantes provavelmente tinham acesso ao console administrativo, que foi então usado para emitir comandos maliciosos e implantar o PathWiper nos endpoints conectados", disseram os pesquisadores Jacob Finn, Dmytro Korzhevin e Asheer Malhotra em uma análise publicada na quinta-feira(05).
O ataque é avaliado como obra de um ator de ameaça persistente avançada (APT) com conexões à Rússia, baseado na perícia observada e nas capacidades sobrepostas com malware destrutivo usado em ataques contra a Ucrânia.
A Talos disse que os comandos emitidos pelo console da ferramenta administrativa foram recebidos pelo seu cliente que estava sendo executado nos endpoints da vítima e depois executados como um arquivo batch (BAT).
O arquivo BAT, por sua vez, consistia em um comando para rodar um arquivo malicioso de Visual Basic Script (VBScript) na pasta Windows TEMP chamado "uacinstall.vbs", que também foi empurrado para as máquinas através do console administrativo.
O VBScript, por sua parte, derrubou o binário wiper sob o nome "sha256sum.exe" na mesma pasta e o executou.
"Ao longo do ataque, nomes de arquivo e ações usados foram intencionados a imitar os implantados pelo console da utilidade administrativa, indicando que os atacantes tinham conhecimento prévio do console e possivelmente de sua funcionalidade dentro do ambiente da empresa vítima", disse a Talos.
Uma vez lançado, o PathWiper é projetado para coletar uma lista de mídias de armazenamento conectadas, incluindo nomes de unidades físicas, nomes e caminhos de volumes, e caminhos de unidades de rede.
O wiper então procede para criar uma thread por unidade e volume para cada caminho registrado e sobrescreve o conteúdo dos artefatos com bytes gerados aleatoriamente.
Especificamente, ele tem como alvo: Master Boot Record (MBR), $MFT, $MFTMirr, $LogFile, $Boot, $Bitmap, $TxfLog, $Tops, e $AttrDef.
Além disso, PathWiper destrói irrevogavelmente arquivos em disco sobrescrevendo-os com bytes randomizados e tenta desmontar volumes.
PathWiper foi encontrado para compartilhar algum nível de semelhança com HermeticWiper (também conhecido como FoxBlade, KillDisk ou NEARMISS), que foi detectado coincidindo com a invasão militar em larga escala da Rússia à Ucrânia em fevereiro de 2024.
O malware HermeticWiper é atribuído ao grupo ligado à Rússia, Sandworm.
Enquanto ambos os wipers tentam corromper o MBR e artefatos relacionados ao NTFS, vale ressaltar que HermeticWiper e PathWiper diferem na maneira como o mecanismo de corrupção de dados é usado contra unidades e volumes identificados.
"A contínua evolução de variantes de malware wiper destaca a ameaça em andamento à infraestrutura crítica ucraniana apesar da longevidade da guerra Rússia-Ucrânia", disseram os pesquisadores.
A descoberta de uma nova cepa de malware wiper contra a Ucrânia ocorre enquanto a empresa de cibersegurança russa BI.ZONE descobriu duas novas campanhas realizadas por Silent Werewolf em março de 2025 para infectar empresas moldavas e russas com malware.
"Os agressores empregaram duas instâncias separadas de loader para recuperar o payload malicioso de seu servidor C2", disse a empresa.
"Infelizmente, o próprio payload não estava disponível no momento desta pesquisa.
No entanto, uma análise retrospectiva de campanhas Silent Werewolf similares sugere que o ator de ameaça usou o malware XDigo."
Alguns dos alvos dos ataques incluem os setores nuclear, aeronáutico, de instrumentação e de engenharia mecânica na Rússia.
O ponto de partida é um e-mail de phishing contendo um anexo de arquivo ZIP que, por sua vez, inclui um arquivo LNK e um arquivo ZIP aninhado.
O segundo arquivo ZIP consiste em um binário legítimo, um DLL malicioso e um PDF isca.
Descompactar e lançar o arquivo de atalho do Windows aciona a extração do arquivo aninhado e, finalmente, faz com que o DLL desonesto seja carregado lateralmente pelo executável legítimo ("DeviceMetadataWizard.exe").
O DLL é um loader C# ("d3d9.dll") projetado para recuperar o payload da próxima fase de um servidor remoto e exibir o documento isca à vítima.
"Os adversários parecem executar verificações nos sistemas alvo", disse a BI.ZONE.
"Se um host alvo não atende a certos critérios, o modelo de linguagem grande Llama 2 (LLM) em formato GGUF é baixado de hxxps://huggingface[.]co/TheBloke/Llama-2-70B-GGUF/resolve/main/llama-2-70b.Q5_K_M.gguf."
"Isto dificulta a análise abrangente de todo o ataque e permite que o ator de ameaça contorne defesas como sandbox."
A empresa de cibersegurança disse que observou uma segunda campanha naquele mesmo mês, visando setores desconhecidos na Moldávia e, provavelmente, na Rússia usando o mesmo loader C#, mas através de iscas de phishing relacionadas a escalas de férias oficiais e recomendações para proteger a infraestrutura de informação corporativa contra ataques de ransomware.
O grupo de espionagem cibernética, segundo a BI.ZONE, é considerado ativo pelo menos desde 2011, visando uma ampla gama de empresas na Rússia, Bielorrússia, Ucrânia, Moldávia e Sérvia.
Os ataques são caracterizados pelo uso de iscas de phishing para entregar malware como XDSpy, XDigo e DSDownloader.
Nos últimos meses, empresas estatais russas e organizações que abrangem a tecnologia, telecomunicações e verticais de produção também são ditas terem sido alvo de ciberataques de um grupo hacktivista pró-ucraniano codinome BO Team (também conhecido como Black Owl, Hoody Hyena e Lifting Zmiy).
"O BO Team é uma ameaça séria visando tanto causar o máximo de dano à vítima quanto extrair benefícios financeiros", disseram pesquisadores da Kaspersky em um relatório na semana passada, detalhando a capacidade do ator de ameaça de sabotar a infraestrutura da vítima e, em alguns casos, até recorrer à criptografia de dados e extorsão.
Ativo desde pelo menos janeiro de 2024, os ataques montados pelo cluster hacktivista são conhecidos por aproveitar frameworks de pós-exploração, incluindo Mythic e Cobalt Strike, bem como ferramentas legítimas de acesso remoto e tunelamento.
O grupo também tem um histórico de acesso a dados confidenciais e publicação de informações sobre ataques bem-sucedidos em seu canal do Telegram, BO Team.
O acesso inicial às redes alvo é realizado enviando e-mails de phishing contendo anexos armadilhados que, quando abertos, ativam uma cadeia de infecção projetada para implantar famílias de malware de mercadoria conhecidas como DarkGate, BrockenDoor e Remcos RAT.
Também são utilizadas ferramentas como HandleKatz e NanoDump para dumping de LSASS e criação de dumps de LSASS, respectivamente.
Armado com o acesso remoto, o BO Team foi observado destruindo backups de arquivos, excluindo arquivos usando a utilidade SDelete e, adicionalmente, soltando a versão Windows do encriptador Babuk para exigir um resgate em troca do acesso recuperado.
Algumas das outras atividades realizadas pelo ator de ameaça estão listadas abaixo:
- Configurando persistência usando tarefas agendadas;
- Atribuindo nomes de componentes maliciosos semelhantes a arquivos executáveis do sistema ou bem conhecidos para evitar detecção;
- Extraindo o banco de dados do Active Directory usando ntdsutil;
- Executando vários comandos para coletar informações sobre Telegram, processos em execução, usuários atuais, sessões RDP remotas e software antivírus instalado nos endpoints;
- Usando protocolos RDP e SSH para realizar movimento lateral dentro das infraestruturas Windows e Linux;
- Soltando software legítimo de acesso remoto como AnyDesk para comando e controle.
"O grupo BO Team representa uma ameaça significativa para as organizações russas devido à sua abordagem não convencional de conduzir ataques", disse a Kaspersky.
Ao contrário da maioria dos grupos hacktivistas pró-ucranianos, o BO Team usa ativamente um amplo arsenal de malware, incluindo backdoors como BrockenDoor, Remcos e DarkGate.
Essas características confirmam o alto nível de autonomia do grupo e a ausência de conexões estáveis com outros representantes do cluster hacktivista pró-ucraniano.
Na atividade pública do BO Team, praticamente não há sinais de interação, coordenação ou troca de ferramentas com outros grupos.
Isso mais uma vez enfatiza seu perfil único dentro da atual paisagem hacktivista na Rússia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...