O ator de ameaças vinculado à Rússia, conhecido como Gamaredon (também conhecido como Shuckworm), foi responsabilizado por um ataque cibernético direcionado a uma missão militar estrangeira sediada na Ucrânia, com o objetivo de entregar uma versão atualizada de um malware conhecido, chamado GammaSteel.
O grupo focou na missão militar de um país ocidental, conforme equipe da Symantec Threat Hunter, com os primeiros sinais de atividade maliciosa detectados em 26 de fevereiro de 2025.
"O vetor de infecção inicial utilizado pelos atacantes parece ter sido um drive removível infectado," disse a divisão de inteligência de ameaças da Broadcom em um relatório compartilhado.
O ataque começou com a criação de um valor no Registro do Windows sob a chave UserAssist, seguido pelo lançamento de "mshta.exe" usando "explorer.exe" para iniciar uma cadeia de infecção multi-estágio e lançar dois arquivos.
O primeiro arquivo, chamado "NTUSER.DAT.TMContainer00000000000000000001.regtrans-ms," é utilizado para estabelecer comunicações com um servidor de command-and-control (C2) que é obtido ao acessar URLs específicas associadas a serviços legítimos como Teletype, Telegram e Telegraph, entre outros.
O segundo arquivo em questão, "NTUSER.DAT.TMContainer00000000000000000002.regtrans-ms," é projetado para infectar drives removíveis e drives de rede criando arquivos de atalho para cada pasta para executar o comando malicioso "mshta.exe" e ocultá-lo.
Posteriormente, em 1 de março de 2025, o script foi executado para contatar um servidor C2, exfiltrar metadados do sistema e receber, em troca, um payload codificado em Base64, que é então utilizado para rodar um comando PowerShell projetado para baixar uma versão ofuscada do mesmo script.
O script, por sua vez, conecta-se a um servidor C2 codificado para buscar mais dois scripts PowerShell, o primeiro dos quais é uma utilidade de reconhecimento capaz de capturar screenshots, executar o comando systeminfo, obter detalhes de softwares de segurança rodando no host, enumerar arquivos e pastas na Área de Trabalho, e listar processos em execução.
O segundo script PowerShell é uma versão aprimorada do GammaSteel, um conhecido ladrão de informações que é capaz de exfiltrar arquivos de uma vítima baseado em uma lista de permissões de extensão das pastas Área de Trabalho e Documentos.
"Este ataque de fato marca um aumento na sofisticação para o Shuckworm, que parece ser menos habilidoso do que outros atores russos, embora compense isso com seu foco implacável em alvos na Ucrânia," disse a Symantec.
Enquanto o grupo não parece ter acesso ao mesmo conjunto de habilidades que alguns outros grupos russos, o Shuckworm agora parece estar tentando compensar isso fazendo contínuas pequenas modificações no código que usa, adicionando ofuscação, e aproveitando serviços web legítimos, tudo para tentar diminuir o risco de detecção.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...