Um ator de ameaças anteriormente desconhecido foi observado copiando as artimanhas associadas ao grupo de hacking alinhado com o Kremlin, Gamaredon, em seus ataques cibernéticos direcionados a entidades de língua russa.
A campanha foi atribuída a um cluster de ameaças apelidado de GamaCopy, que tem sobreposições com outro grupo de hacking chamado Core Werewolf, também conhecido como Awaken Likho e PseudoGamaredon.
Segundo a equipe de Inteligência de Ameaças Avançadas Knownsec 404, os ataques se aproveitam de conteúdo relacionado a instalações militares como iscas para implantar o UltraVNC, permitindo que os atores de ameaça acessem remotamente os hosts comprometidos.
“A TTP (Táticas, Técnicas e Procedimentos) desta organização imita a da organização Gamaredon, que realiza ataques contra a Ucrânia,” disse a empresa em um relatório publicado na semana passada.
A divulgação chega quase quatro meses após a Kaspersky revelar que agências do governo russo e entidades industriais foram alvo do Core Werewolf, com os ataques de spear-phishing abrindo caminho para a plataforma MeshCentral em vez do UltraVNC.
O ponto inicial da cadeia de ataque espelha o detalhado pela empresa de cibersegurança russa, onde um arquivo de arquivo auto-extrator (SFX) criado usando o 7-Zip atua como um condutor para soltar payloads úteis de próxima etapa.
Isso inclui um script em lote que é responsável por entregar o UltraVNC, enquanto também exibe um documento PDF de isca.
O executável do UltraVNC é nomeado como “OneDrivers.exe” em um esforço provável para escapar da detecção, passando-o como um binário associado ao Microsoft OneDrive.
A Knownsec 404 disse que a atividade compartilha várias semelhanças com as campanhas do Core Werewolf, incluindo o uso de arquivos 7z-SFX para instalar e executar o UltraVNC, a porta 443 para se conectar ao servidor e o uso do comando EnableDelayedExpansion.
“Desde sua exposição, esta organização frequentemente imitou as TTPs usadas pela organização Gararedon e inteligentemente usou ferramentas de código aberto como um escudo para alcançar seus próprios objetivos enquanto confunde o público,” disse a empresa.
GamaCopy é um dos muitos atores de ameaça que visaram organizações russas na esteira da guerra Russo-Ucraniana, como Sticky Werewolf (também conhecido como PhaseShifters), Venture Wolf e Paper Werewolf.
“Grupos como PhaseShifters, PseudoGamaredon e Fluffy Wolf se destacam por suas implacáveis campanhas de phishing voltadas para o roubo de dados,” disse Irina Zinovkina da Positive Technologies.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...