O ator de ameaças conhecido como Gamaredon foi observado utilizando os Túneis da Cloudflare como tática para ocultar sua infraestrutura de encenação hospedando um malware chamado GammaDrop.
A atividade faz parte de uma campanha contínua de spear-phishing visando entidades ucranianas desde pelo menos o início de 2024, projetada para disseminar o malware Visual Basic Script, disse o Grupo Insikt da Recorded Future em uma nova análise.
A empresa de cibersegurança está rastreando o ator de ameaças sob o nome BlueAlpha, que também é conhecido como Aqua Blizzard, Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 e Winterflounder.
O grupo, que se acredita estar ativo desde 2014, é afiliado ao Serviço Federal de Segurança (FSB) da Rússia.
"O BlueAlpha começou recentemente a usar os Túneis da Cloudflare para ocultar a infraestrutura de encenação usada pelo GammaDrop, uma técnica cada vez mais popular usada por grupos de ameaças cibernéticas para implantar malware," observou o Grupo Insikt.
"O BlueAlpha continua a usar o fast-fluxing do sistema de nomes de domínio (DNS) da infraestrutura de comando e controle (C2) do GammaLoad para complicar o rastreamento e a interrupção das comunicações C2, a fim de preservar o acesso aos sistemas comprometidos."
O uso do Túnel da Cloudflare pelo adversário foi documentado anteriormente pela empresa eslovaca de cibersegurança ESET em setembro de 2024, como parte dos ataques visando a Ucrânia e vários países da OTAN, a saber, Bulgária, Letônia, Lituânia e Polônia.
Também caracterizou o modus operandi do ator de ameaças como imprudente e não particularmente focado em furtividade, embora eles façam esforços para "evitar ser bloqueados por produtos de segurança e tentem muito manter o acesso aos sistemas comprometidos."
"O Gamaredon tenta preservar seu acesso implantando vários downloaders simples ou backdoors simultaneamente", acrescentou a ESET.
A falta de sofisticação das ferramentas do Gamaredon é compensada por atualizações frequentes e uso de obfuscação regularmente alterada.
As ferramentas são projetadas principalmente para roubar dados valiosos de aplicações web que rodam dentro de navegadores da internet, clientes de e-mail e aplicações de mensagens instantâneas, como Signal e Telegram, além de baixar payloads adicionais e propagar o malware por meio de drives USB conectados.
PteroPSLoad, PteroX, PteroSand, PteroDash, PteroRisk e PteroPowder - Baixar payloads PteroCDrop - Disseminar payloads de Script Visual Basic PteroClone - Entregar payloads usando a utilidade rclone PteroLNK - Armar drives USB conectados PteroDig - Armar arquivos LNK na pasta Desktop para persistência PteroSocks - Prover funcionalidade parcial de proxy SOCKS PteroPShell, ReVBShell - Funcionar como um shell remoto PteroPSDoor, PteroVDoor - Exfiltrar arquivos específicos do sistema de arquivos PteroScreen - Capturar e exfiltrar capturas de tela PteroSteal - Exfiltrar credenciais armazenadas por navegadores web PteroCookie - Exfiltrar cookies armazenados por navegadores web PteroSig - Exfiltrar dados armazenados pelo aplicativo Signal PteroGram - Exfiltrar dados armazenados pelo aplicativo Telegram PteroBleed - Exfiltrar dados armazenados pelas versões web do Telegram e WhatsApp no Google Chrome, Microsoft Edge e Opera PteroScout - Exfiltrar informações do sistema
O último conjunto de ataques destacados pela Recorded Future envolve o envio de e-mails de phishing com anexos HTML, que utilizam uma técnica chamada HTML smuggling para ativar o processo de infecção por meio de código JavaScript embutido.
Os anexos HTML, quando abertos, soltam um arquivo de arquivo 7-Zip ("56-27-11875.rar") que inclui um arquivo LNK malicioso, que utiliza o mshta.exe para entregar o GammaDrop, um dropper HTA responsável por escrever no disco um carregador personalizado chamado GammaLoad, que subsequentemente estabelece contato com um servidor C2 para buscar malware adicional.
O artefato GammaDrop é recuperado de um servidor de encenação que fica atrás de um Túnel da Cloudflare hospedado no domínio amsterdam-sheet-veteran-aka.trycloudflare[.]com.
Por sua parte, o GammaLoad utiliza provedores de DNS-sobre-HTTPS (DoH) como Google e Cloudflare para resolver a infraestrutura C2 quando o DNS tradicional falha.
Ele também emprega uma técnica DNS de fast-flux para buscar o endereço C2 se sua primeira tentativa de comunicação com o servidor falhar.
"É provável que o BlueAlpha continue refinando técnicas de evasão ao aproveitar serviços legítimos e amplamente utilizados como a Cloudflare, complicando a detecção para sistemas de segurança tradicionais", disse a Recorded Future.
Aperfeiçoamentos contínuos no HTML smuggling e na persistência baseada em DNS provavelmente representarão desafios em evolução, especialmente para organizações com capacidades limitadas de detecção de ameaças.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...