Um grupo hacktivista conhecido como Head Mare foi vinculado a ataques cibernéticos que visam exclusivamente organizações localizadas na Rússia e em Belarus.
"Head Mare utiliza métodos mais atualizados para obter acesso inicial," disse a Kaspersky em uma análise de segunda-feira sobre as táticas e ferramentas do grupo.
Por exemplo, os atacantes se aproveitaram da vulnerabilidade relativamente recente
CVE-2023-38831
no WinRAR, que permite ao atacante executar código arbitrário no sistema por meio de um arquivo especialmente preparado.
Essa abordagem permite ao grupo entregar e disfarçar o payload maliciosa de forma mais eficaz.
Ativo desde 2023, Head Mare é um dos grupos hacktivistas que atacam organizações russas no contexto do conflito Russo-Ucraniano que começou um ano antes.
O grupo também mantém uma presença no X, onde vazou informações sensíveis e documentação interna das vítimas.
Os alvos dos ataques do grupo incluem governos, setores de transporte, energia, manufatura e meio ambiente.
Diferente de outras personas hacktivistas que provavelmente operam com o objetivo de infligir "máximo dano" às empresas nos dois países, Head Mare também criptografa dispositivos das vítimas usando LockBit para Windows e Babuk para Linux (ESXi), e exige um resgate pela descriptografia dos dados.
Também fazem parte do seu arsenal de ferramentas o PhantomDL e o PhantomCore, sendo o primeiro um backdoor baseado em Go capaz de entregar payloads adicionais e fazer upload de arquivos de interesse para um servidor de comando e controle (C2).
PhantomCore (também conhecido como PhantomRAT), um predecessor do PhantomDL, é um trojan de acesso remoto com recursos similares, permitindo o download de arquivos do servidor C2, upload de arquivos de um host comprometido para o servidor C2, bem como a execução de comandos no interpretador de linha de comando cmd.exe.
"Os atacantes criam tarefas agendadas e valores de registro nomeados MicrosoftUpdateCore e MicrosoftUpdateCoree para disfarçar sua atividade como tarefas relacionadas ao software da Microsoft," disse a Kaspersky.
Também descobrimos que alguns exemplares de LockBit usados pelo grupo tinham os seguintes nomes: OneDrive.exe [e] VLC.exe.
Esses exemplares estavam localizados no diretório C:\ProgramData, disfarçando-se como aplicativos legítimos OneDrive e VLC.
Ambos os artefatos foram encontrados distribuídos via campanhas de phishing na forma de documentos empresariais com extensões duplas (por exemplo, решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe ou тз на разработку.pdf.exe).
Outro componente crucial de seu arsenal de ataque é o Sliver, um framework C2 de código aberto, e uma coleção de várias ferramentas disponíveis publicamente, como rsockstun, ngrok e Mimikatz que facilitam a descoberta, movimentação lateral e coleta de credenciais.
As intrusões culminam na implantação de LockBit ou Babuk, dependendo do ambiente alvo, seguida pelo lançamento de uma nota de resgate que exige um pagamento em troca de um decodificador para desbloquear os arquivos.
"As táticas, métodos, procedimentos e ferramentas usadas pelo grupo Head Mare são geralmente semelhantes aos de outros grupos associados a clusters visando organizações na Rússia e em Belarus no contexto do conflito Russo-Ucraniano," disse o fornecedor russo de cibersegurança.
No entanto, o grupo se distingue pelo uso de malware feito sob medida, como PhantomDL e PhantomCore, bem como pela exploração de uma vulnerabilidade relativamente nova,
CVE-2023-38831
, para infiltrar na infraestrutura de suas vítimas em campanhas de phishing.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...