O grupo de ameaça persistente avançada (APT) conhecido como UAC-0063 foi observado utilizando documentos legítimos obtidos por meio da infiltração em uma vítima para atacar outro alvo com o objetivo de entregar um malware conhecido como HATVIBE.
"Esta pesquisa foca em completar o quadro das operações da UAC-0063, documentando em particular sua expansão além do foco inicial na Ásia Central, visando entidades como embaixadas em múltiplos países europeus, incluindo Alemanha, Reino Unido, Holanda, Romênia e Geórgia", disse Martin Zugec, diretor de soluções técnicas na Bitdefender, em um relatório compartilhado.
A UAC-0063 foi identificada pela primeira vez pela empresa romena de cibersegurança em maio de 2023, em conexão com uma campanha que visava entidades governamentais na Ásia Central com um malware de exfiltração de dados conhecido como DownEx (também conhecido como STILLARCH).
Suspeita-se que compartilhe ligações com um ator patrocinado pelo estado russo conhecido como APT28.
Apenas semanas depois, o Computer Emergency Response Team da Ucrânia (CERT-UA) – que deu o apelido ao cluster de ameaça – revelou que o grupo de hackers tem atuado desde pelo menos 2021, atacando órgãos do estado no país com um keylogger (LOGPIE), um script loader de Aplicação HTML (HATVIBE), um backdoor em Python (CHERRYSPY ou DownExPyer) e DownEx.
Há evidências de que a UAC-0063 também visou várias entidades governamentais e organizações educacionais na Ásia Central, Ásia Oriental e Europa, de acordo com o Insikt Group da Recorded Future, que nomeou o ator de ameaça como TAG-110.
No início deste mês, a firma de cibersegurança Sekoia divulgou que identificou uma campanha realizada pela equipe de hackers que envolveu o uso de documentos roubados do Ministério das Relações Exteriores da República do Cazaquistão para spear-phishing em alvos e entregar o malware HATVIBE.
As últimas descobertas da Bitdefender demonstram a continuação desse comportamento, com as intrusões abrindo caminho finalmente para DownEx, DownExPyer e um exfiltrador de dados USB recém-descoberto codinomeado PyPlunderPlug em pelo menos um incidente visando uma empresa alemã em meados de janeiro de 2023.
DownExPyer vem equipado com capacidades variadas para manter uma conexão persistente com um servidor remoto e receber comandos para coletar dados, executar comandos e implantar cargas adicionais.
A lista de tarefas obtidas do servidor de comando e controle (C2) está abaixo:
A3 - Exfiltrar arquivos que correspondam a um conjunto específico de extensões para C2
A4 - Exfiltrar arquivos e registros de teclas para C2 e excluí-los após a transmissão
A5 - Executar comandos (por padrão, a função "systeminfo" é chamada para colher informações do sistema)
A6 - Enumerar o sistema de arquivos
A7 - Tirar capturas de tela
A11 - Terminar outra tarefa em execução
"A estabilidade das funcionalidades centrais de DownExPyer ao longo dos últimos dois anos é um indicador significativo de sua maturidade e provável presença de longa data no arsenal da UAC-0063", explicou Zugec.
"Essa estabilidade observada sugere que DownExPyer já estava operacional e refinado antes de 2022."
A Bitdefender disse também ter identificado um script em Python projetado para registrar pressionamentos de teclas – provavelmente um precursor do LOGPIE – em uma das máquinas comprometidas que estava infectada com DownEx, DownExPyer e HATVIBE.
"A UAC-0063 exemplifica um grupo de atores de ameaça sofisticados caracterizado por suas capacidades avançadas e direcionamento persistente de entidades governamentais", disse Zugec.
Seu arsenal, apresentando implantes sofisticados como DownExPyer e PyPlunderPlug, combinado com TTPs bem elaboradas, demonstra um claro foco em espionagem e coleta de inteligência.
O direcionamento de entidades governamentais em regiões específicas está alinhado com interesses estratégicos russos potenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...