Um novo ator de ameaças chamado 'YoroTrooper' tem executado campanhas de ciberespionagem desde pelo menos junho de 2022, visando organizações governamentais e de energia em países da Comunidade dos Estados Independentes (CEI).
De acordo com a Cisco Talos, o ator de ameaças comprometeu as contas de uma agência crítica da União Europeia envolvida em saúde, a Organização Mundial da Propriedade Intelectual (OMPI) e várias embaixadas europeias.
As ferramentas do YoroTrooper incluem uma combinação de ladrões de informações personalizados e de commodity, cavalos de Troia de acesso remoto e malwares baseados em Python.
A infecção ocorre por meio de e-mails de phishing contendo anexos LNK maliciosos e documentos PDF falsos.
A Cisco Talos relata ter evidências de que o YoroTrooper está exfiltrando grandes volumes de dados de pontos finais infectados, incluindo credenciais de conta, cookies e históricos de navegação.
Embora o YoroTrooper use malwares associados a outros atores de ameaças, como PoetRAT e LodaRAT, os analistas da Cisco têm indicações suficientes para acreditar que este é um novo cluster de atividade.
No verão de 2022, o YoroTrooper alvejou entidades bielorrussas usando arquivos PDF corrompidos enviados de domínios de e-mail que se faziam passar por entidades russas ou bielorrussas.
Em setembro de 2022, o grupo registrou vários domínios de typosquatting imitando entidades governamentais russas e experimentou com a distribuição baseada em VHDX de implantes baseados em NET.
Nos meses seguintes até o final do ano, os ciberespiões mudaram seu foco para Belarus e Azerbaijão, implantando um implante personalizado baseado em Python chamado 'Stink Stealer'.
Em 2023, os atores de ameaças usaram o HTA para baixar documentos falsos e droppers de implantes no sistema alvo, implantando um ladrão personalizado em Python contra o governo do Tajiquistão e do Uzbequistão.
O YoroTrooper foi visto anteriormente usando malwares de commodity como AveMaria (Warzone RAT) e LodaRAT, mas em ataques posteriores, os atores de ameaças mudaram para o uso de RATs personalizados em Python envolvidos em Nuitka.
O Nuitka ajuda a distribuir os payloads como aplicativos independentes sem exigir a instalação do Python no dispositivo.
O RAT personalizado usa o Telegram para comunicação com o servidor de controle e comando e exfiltração de dados e suporta a execução de comandos arbitrários no dispositivo infectado.
Em janeiro de 2023, o YoroTrooper empregou um script ladrão baseado em Python para extrair credenciais de conta armazenadas em navegadores da web Chrome e exfiltrá-las por meio de um bot do Telegram.
Em fevereiro de 2023, os atacantes começaram a implantar um novo ladrão de credenciais modular chamado 'Stink'.
O Stink pode coletar credenciais, marcadores e dados de navegação de navegadores baseados em Chrome, enquanto também pode tirar capturas de tela e roubar dados do Filezilla, Discord e Telegram.
Além disso, informações básicas do sistema, como hardware, SO e processos em execução, também são enumeradas e exfiltradas.
Todos os dados roubados são temporariamente armazenados em um diretório no sistema infectado e eventualmente compactados e enviados para os atores de ameaças.
O desempenho do Stink é impulsionado pela execução de todos os módulos Python em seus próprios processos individuais, usando threads de processador separados para acelerar o processo de coleta de dados.
Além disso, o YoroTrooper usou shells reversos baseados em Python e um keylogger baseado em C implantado em ocasiões limitadas.
O YoroTrooper é de origem desconhecida, e seus patrocinadores ou afiliações permanecem obscuros.
No entanto, o uso de ferramentas de malware personalizado pelo grupo de ameaças de espionagem indica que eles são atores de ameaças habilidosos e conhecedores.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...