Empresas na Rússia e na Moldávia foram alvo de uma campanha de phishing orquestrada por um grupo de espionagem cibernética pouco conhecido chamado XDSpy.
As descobertas vêm da firma de cibersegurança F.A.C.C.T., que disse que as cadeias de infecção levam ao desdobramento de um malware chamado DSDownloader.
A atividade foi observada este mês, acrescentou.
O XDSpy é um ator de ameaças de origem indeterminada que foi descoberto pela primeira vez pelo Belarusian Computer Emergency Response Team, CERT.BY, em fevereiro de 2020.
Uma análise subsequente pela ESET atribuiu ao grupo ataques de roubo de informações direcionados a agências governamentais no Leste Europeu e nos Bálcãs desde 2011.
As cadeias de ataque montadas pelo adversário são conhecidas por explorar e-mails de spear-phishing para infiltrar nos seus alvos com um módulo de malware principal conhecido como XDDown que, por sua vez, solta plugins adicionais para coletar informações do sistema, enumerar o drive C:, monitorar drives externos, exfiltrar arquivos locais e coletar senhas.
No último ano, o XDSpy foi observado visando organizações russas com um dropper baseado em C# chamado UTask que é responsável por baixar um módulo central na forma de um executável que pode buscar mais payloads de um servidor de comando-e-controle (C2).
O conjunto mais recente de ataques envolve o uso de e-mails de phishing com iscas relacionadas a acordos para propagar um arquivo RAR que contém um executável legítimo e um arquivo DLL malicioso.
A DLL é então executada por meio do anterior usando técnicas de DLL side-loading.
A biblioteca encarrega-se de baixar e executar o DSDownloader, que, por sua vez, abre um arquivo isca como distração enquanto baixa secretamente o próximo estágio do malware de um servidor remoto.
A F.A.C.C.T. disse que o payload já não estava disponível para download no momento da análise.
O início da guerra russo-ucraniana em 2022 testemunhou uma escalada significativa em ataques cibernéticos de ambos os lados, com empresas russas comprometidas pelo DarkWatchman RAT bem como por clusters de atividade rastreados como Core Werewolf, Hellhounds, PhantomCore, Rare Wolf, ReaverBits e Sticky Werewolf, entre outros nos últimos meses.
Além disso, grupos hacktivistas pró-ucranianos como o Cyber.Anarchy.Squad também voltaram sua atenção para entidades russas, conduzindo operações de hack-and-leak e ataques disruptivos contra a Infotel e Avanpost.
O desenvolvimento vem à medida que o Computer Emergency Response Team da Ucrânia (CERT-UA) alertou para um pico nos ataques de phishing realizados por um ator de ameaça bielorrusso chamado UAC-0057 (também conhecido como GhostWriter e UNC1151) que distribui uma família de malware referida como PicassoLoader com o objetivo de soltar um Cobalt Strike Beacon em hosts infectados.
Isso também segue a descoberta de uma nova campanha do grupo vinculado à Rússia, Turla, que utiliza um arquivo de atalho do Windows (LNK) malicioso como um condutor para servir um backdoor sem arquivo que pode executar scripts PowerShell recebidos de um servidor legítimo, mas comprometido, e desabilitar recursos de segurança.
"Ele também emprega patching de memória, bypass AMSI e desabilita recursos de registro de eventos do sistema para prejudicar a defesa do sistema para aprimorar sua capacidade de evasão," disseram pesquisadores da G DATA.
Ele aproveita o msbuild.exe da Microsoft para implementar o AWL (Application Whitelist) Bypass para evitar detecção.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...