Dominação estendida da Bad Magic na espionagem cibernética remonta a mais de uma década
23 de Maio de 2023

Novas descobertas sobre um grupo de hackers ligado a ataques cibernéticos direcionados a empresas na área de conflito Russo-Ucraniano revelam que eles podem ter existido por muito mais tempo do que se pensava anteriormente.

O ator da ameaça, rastreado como Bad Magic (também conhecido como Red Stinger), não apenas foi associado a uma nova campanha sofisticada, mas também a um grupo de atividades que foi revelado pela primeira vez em maio de 2016.

"Enquanto os alvos anteriores estavam principalmente localizados nas regiões de Donetsk, Luhansk e Crimeia, o escopo agora se ampliou para incluir indivíduos, entidades diplomáticas e organizações de pesquisa no oeste e centro da Ucrânia", disse a empresa de segurança cibernética russa Kaspersky em um relatório técnico publicado na semana passada.

A campanha é caracterizada pelo uso de uma nova estrutura modular chamada CloudWizard, que apresenta capacidades para tirar capturas de tela, gravar microfone, registrar toques de teclado, roubar senhas e coletar caixas de entrada do Gmail.

A Bad Magic foi documentada pela primeira vez pela empresa em março de 2023, detalhando o uso do grupo de um backdoor chamado PowerMagic (também conhecido como DBoxShell ou GraphShell) e uma estrutura modular chamada CommonMagic em ataques direcionados a territórios ucranianos ocupados pelos russos.

Então, no início deste mês, a Malwarebytes revelou pelo menos cinco ondas de ataques de espionagem realizados pelo grupo desde dezembro de 2020.

O aprofundamento do conhecimento compartilhado pela Kaspersky conecta a Bad Magic a atividades anteriores com base na análise de dados telemétricos históricos, permitindo que a empresa identifique vários artefatos associados à estrutura CloudWizard de 2017 a 2020.

O vetor de acesso inicial usado para deixar o instalador da primeira fase é atualmente desconhecido.

Dito isso, o malware é configurado para deixar um serviço do Windows ("syncobjsup.dll") e um segundo arquivo ("mods.lrc"), que, por sua vez, contém três módulos diferentes para coletar e exfiltrar dados sensíveis.

As informações são transmitidas em forma criptografada para um endpoint de armazenamento em nuvem controlado pelo ator (OneDrive, Dropbox ou Google Drive).

Um servidor web é usado como mecanismo de backup no caso de nenhum dos serviços estar acessível.

A Kaspersky disse ter identificado sobreposições de código-fonte entre uma versão mais antiga do CloudWizard e outro malware conhecido como Prikormka, descoberto pela empresa de segurança cibernética eslovaca ESET em 2016.

A campanha de espionagem, monitorada pela ESET sob o nome de Operação Groundbait, visou principalmente separatistas anti-governo em Donetsk e Luhansk e funcionários do governo ucraniano, políticos e jornalistas.

Prikormka é implantado por meio de um dropper contido em anexos maliciosos de e-mail e apresenta 13 componentes diferentes para coletar vários tipos de dados de máquinas comprometidas.

Evidências coletadas pela ESET mostram que o malware tem sido seletivamente usado desde pelo menos 2008.

CloudWizard também exibe semelhanças com um conjunto de intrusão relacionado chamado BugDrop, que foi divulgado pela CyberX (adquirida pela Microsoft) em 2017, com a empresa de segurança cibernética industrial o descrevendo como mais avançado do que o Groundbait.

Também foram descobertas semelhanças entre o CloudWizard e o CommonMagic, incluindo código-fonte idêntico e padrões de vitimologia, indicando que o ator da ameaça tem repetidamente ajustado seu arsenal de malware e infectado alvos por cerca de 15 anos.

O último desenvolvimento, ao atribuir a estrutura CloudWizard ao ator por trás da Operação Groundbait e da Operação BugDrop, fornece mais uma peça para o quebra-cabeça que espera eventualmente revelar a imagem maior das origens do misterioso grupo.

"O ator da ameaça responsável por essas operações demonstrou um comprometimento persistente e contínuo com a espionagem cibernética, continuamente aprimorando seu conjunto de ferramentas e direcionando organizações de interesse por mais de 15 anos", disse o pesquisador da Kaspersky, Georgy Kucherin.

"Fatores geopolíticos continuam sendo um motivador significativo para ataques APT e, dada a tensão predominante na área de conflito Russo-Ucraniano, esperamos que este ator continue com suas operações no futuro previsível."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...