O grupo de hackers patrocinado pelo estado russo Gamaredon (também conhecido como Armageddon ou Shuckworm) continua a direcionar organizações críticas nos setores de inteligência militar e de segurança da Ucrânia, empregando um conjunto de ferramentas atualizado e novas táticas de infecção.
Anteriormente, os hackers russos, que foram vinculados ao FSB, foram observados usando ferramentas de roubo de informações contra organizações estatais ucranianas, empregando novas variantes de seu malware "Pteranodon" e também usando um sequestrador de modelo padrão do Word para novas infecções.
A equipe de pesquisa de ameaças da Symantec, parte da Broadcom, informa hoje que os atores de ameaças recentemente começaram a usar malware USB para se propagar para sistemas adicionais dentro de redes infectadas.
Outro elemento interessante na nova campanha do Gamaredon é direcionar os departamentos de RH, indicando potencialmente que os atores de ameaças estão visando ataques de spear-phishing dentro de organizações comprometidas.
Os analistas da Symantec relatam que a atividade do Gamaredon em 2023 aumentou entre fevereiro e março de 2023, enquanto os hackers continuaram a manter presença em algumas máquinas comprometidas até maio de 2023.
O Gamaredon continua a depender de e-mails de phishing para a comprometimento inicial, enquanto seus alvos incluem organizações governamentais, militares, de segurança e de pesquisa, focando em seus departamentos de Recursos Humanos.
Os e-mails de phishing carregam anexos RAR, DOCX, SFX, LNK e HTA que, se abertos, lançam um comando PowerShell que baixa um payload 'Pterodo' do servidor do atacante (C2).
A Symantec amostrou 25 variantes de scripts do PowerShell entre janeiro e abril de 2023, usando níveis variados de ofuscação e apontando para diferentes endereços IP de download de Pterodo para resistir às regras de detecção estáticas.
O PowerShell copia a si mesmo na máquina infectada e cria um arquivo de atalho usando uma extensão rtk lnk.
Os LNKs criados pelo script têm uma ampla variedade de nomes, alguns selecionados especificamente para despertar o interesse da vítima.
Uma vez que a vítima lança esses arquivos, o script PowerShell enumera todas as unidades no computador e copia a si mesmo em discos USB removíveis, aumentando a probabilidade de movimento lateral bem-sucedido dentro da rede comprometida.
Em uma das máquinas comprometidas pelo Gamaredon neste ano, os analistas da Symantec encontraram um arquivo "foto.safe" que é um script PowerShell codificado em base64.
A Symantec diz que o dispositivo foi infectado após uma chave USB infectada ser conectada ao dispositivo.
No entanto, não está claro como a unidade USB foi infectada em primeiro lugar.
"Essas unidades USB provavelmente são usadas pelos atacantes para o movimento lateral em redes de vítimas e podem ser usadas para ajudar os atacantes a alcançar máquinas isoladas dentro de organizações-alvo", alertou a Symantec.
A Symantec espera que o Gamaredon continue a estar focado na Ucrânia, continuando a atualizar suas ferramentas e enriquecer suas táticas de ataque, enquanto visam dados que possam ser úteis para as operações militares da Rússia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...