Cibercriminosos do YoroTrooper atacam organizações de energia da CEI e embaixadas da União Europeia
15 de Março de 2023

Um novo ator de ameaças chamado 'YoroTrooper' tem executado campanhas de ciberespionagem desde pelo menos junho de 2022, visando organizações governamentais e de energia em países da Comunidade dos Estados Independentes (CEI).

De acordo com a Cisco Talos, o ator de ameaças comprometeu as contas de uma agência crítica da União Europeia envolvida em saúde, a Organização Mundial da Propriedade Intelectual (OMPI) e várias embaixadas europeias.

As ferramentas do YoroTrooper incluem uma combinação de ladrões de informações personalizados e de commodity, cavalos de Troia de acesso remoto e malwares baseados em Python.

A infecção ocorre por meio de e-mails de phishing contendo anexos LNK maliciosos e documentos PDF falsos.

A Cisco Talos relata ter evidências de que o YoroTrooper está exfiltrando grandes volumes de dados de pontos finais infectados, incluindo credenciais de conta, cookies e históricos de navegação.

Embora o YoroTrooper use malwares associados a outros atores de ameaças, como PoetRAT e LodaRAT, os analistas da Cisco têm indicações suficientes para acreditar que este é um novo cluster de atividade.

No verão de 2022, o YoroTrooper alvejou entidades bielorrussas usando arquivos PDF corrompidos enviados de domínios de e-mail que se faziam passar por entidades russas ou bielorrussas.

Em setembro de 2022, o grupo registrou vários domínios de typosquatting imitando entidades governamentais russas e experimentou com a distribuição baseada em VHDX de implantes baseados em NET.

Nos meses seguintes até o final do ano, os ciberespiões mudaram seu foco para Belarus e Azerbaijão, implantando um implante personalizado baseado em Python chamado 'Stink Stealer'.

Em 2023, os atores de ameaças usaram o HTA para baixar documentos falsos e droppers de implantes no sistema alvo, implantando um ladrão personalizado em Python contra o governo do Tajiquistão e do Uzbequistão.

O YoroTrooper foi visto anteriormente usando malwares de commodity como AveMaria (Warzone RAT) e LodaRAT, mas em ataques posteriores, os atores de ameaças mudaram para o uso de RATs personalizados em Python envolvidos em Nuitka.

O Nuitka ajuda a distribuir os payloads como aplicativos independentes sem exigir a instalação do Python no dispositivo.

O RAT personalizado usa o Telegram para comunicação com o servidor de controle e comando e exfiltração de dados e suporta a execução de comandos arbitrários no dispositivo infectado.

Em janeiro de 2023, o YoroTrooper empregou um script ladrão baseado em Python para extrair credenciais de conta armazenadas em navegadores da web Chrome e exfiltrá-las por meio de um bot do Telegram.

Em fevereiro de 2023, os atacantes começaram a implantar um novo ladrão de credenciais modular chamado 'Stink'.

O Stink pode coletar credenciais, marcadores e dados de navegação de navegadores baseados em Chrome, enquanto também pode tirar capturas de tela e roubar dados do Filezilla, Discord e Telegram.

Além disso, informações básicas do sistema, como hardware, SO e processos em execução, também são enumeradas e exfiltradas.

Todos os dados roubados são temporariamente armazenados em um diretório no sistema infectado e eventualmente compactados e enviados para os atores de ameaças.

O desempenho do Stink é impulsionado pela execução de todos os módulos Python em seus próprios processos individuais, usando threads de processador separados para acelerar o processo de coleta de dados.

Além disso, o YoroTrooper usou shells reversos baseados em Python e um keylogger baseado em C implantado em ocasiões limitadas.

O YoroTrooper é de origem desconhecida, e seus patrocinadores ou afiliações permanecem obscuros.

No entanto, o uso de ferramentas de malware personalizado pelo grupo de ameaças de espionagem indica que eles são atores de ameaças habilidosos e conhecedores.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...