Espionagem cibernética russa usa GamaCopy
27 de Janeiro de 2025

Um ator de ameaças anteriormente desconhecido foi observado copiando as artimanhas associadas ao grupo de hacking alinhado com o Kremlin, Gamaredon, em seus ataques cibernéticos direcionados a entidades de língua russa.

A campanha foi atribuída a um cluster de ameaças apelidado de GamaCopy, que tem sobreposições com outro grupo de hacking chamado Core Werewolf, também conhecido como Awaken Likho e PseudoGamaredon.

Segundo a equipe de Inteligência de Ameaças Avançadas Knownsec 404, os ataques se aproveitam de conteúdo relacionado a instalações militares como iscas para implantar o UltraVNC, permitindo que os atores de ameaça acessem remotamente os hosts comprometidos.

“A TTP (Táticas, Técnicas e Procedimentos) desta organização imita a da organização Gamaredon, que realiza ataques contra a Ucrânia,” disse a empresa em um relatório publicado na semana passada.

A divulgação chega quase quatro meses após a Kaspersky revelar que agências do governo russo e entidades industriais foram alvo do Core Werewolf, com os ataques de spear-phishing abrindo caminho para a plataforma MeshCentral em vez do UltraVNC.

O ponto inicial da cadeia de ataque espelha o detalhado pela empresa de cibersegurança russa, onde um arquivo de arquivo auto-extrator (SFX) criado usando o 7-Zip atua como um condutor para soltar payloads úteis de próxima etapa.

Isso inclui um script em lote que é responsável por entregar o UltraVNC, enquanto também exibe um documento PDF de isca.

O executável do UltraVNC é nomeado como “OneDrivers.exe” em um esforço provável para escapar da detecção, passando-o como um binário associado ao Microsoft OneDrive.

A Knownsec 404 disse que a atividade compartilha várias semelhanças com as campanhas do Core Werewolf, incluindo o uso de arquivos 7z-SFX para instalar e executar o UltraVNC, a porta 443 para se conectar ao servidor e o uso do comando EnableDelayedExpansion.

“Desde sua exposição, esta organização frequentemente imitou as TTPs usadas pela organização Gararedon e inteligentemente usou ferramentas de código aberto como um escudo para alcançar seus próprios objetivos enquanto confunde o público,” disse a empresa.

GamaCopy é um dos muitos atores de ameaça que visaram organizações russas na esteira da guerra Russo-Ucraniana, como Sticky Werewolf (também conhecido como PhaseShifters), Venture Wolf e Paper Werewolf.

“Grupos como PhaseShifters, PseudoGamaredon e Fluffy Wolf se destacam por suas implacáveis campanhas de phishing voltadas para o roubo de dados,” disse Irina Zinovkina da Positive Technologies.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...