Pesquisadores de cibersegurança apontaram semelhanças táticas entre os atores de ameaça por trás do RomCom RAT e um grupo que foi observado entregando um loader denominado TransferLoader.
A empresa de segurança empresarial Proofpoint está monitorando a atividade associada ao TransferLoader a um grupo chamado UNK_GreenSec e os atores do RomCom RAT sob o nome TA829.
Este último também é conhecido pelos nomes CIGAR, Nebulous Mantis, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 e Void Rabisu.
A empresa disse que descobriu o UNK_GreenSec como parte de sua investigação sobre o TA829, descrevendo-o como usando "uma quantidade incomum de infraestrutura semelhante, táticas de entrega, páginas de destino e temas de iscas de email."
O TA829 é um grupo de hackers um tanto quanto incomum na paisagem de ameaças, dado sua capacidade de conduzir tanto espionagem quanto ataques com motivação financeira.
O grupo híbrido alinhado à Rússia também foi ligado à exploração de zero-day em falhas de segurança no Mozilla Firefox e no Microsoft Windows para entregar o RomCom RAT em ataques direcionados a alvos globais.
No início deste ano, a PRODAFT detalhou o uso, pelos atores de ameaças, de provedores de hospedagem à prova de balas, táticas de living-off-the-land (LOTL) e comunicações criptografadas de comando e controle (C2) para evitar detecção.
Por outro lado, o TransferLoader foi documentado pela primeira vez pela Zscaler ThreatLabz em conexão com uma campanha de fevereiro de 2025 que entregou o ransomware Morpheus contra um escritório de advocacia americano não nomeado.
A Proofpoint observou que as campanhas realizadas tanto pelo TA829 quanto pelo UNK_GreenSec dependem de serviços REM Proxy que são implantados em roteadores MikroTik comprometidos para sua infraestrutura upstream.
Dito isto, o método exato usado para violar esses dispositivos não é conhecido.
"Os dispositivos REM Proxy provavelmente são alugados para usuários para retransmitir tráfego," disse a equipe de pesquisa de ameaças da Proofpoint.
Nas campanhas observadas, tanto o TA829 quanto o UNK_GreenSec usam o serviço para retransmitir tráfego para novas contas em provedores de e-mail gratuitos para então enviar aos alvos.
Serviços REM Proxy também foram usados pelo TA829 para iniciar campanhas semelhantes via contas de email comprometidas.
Dado que o formato dos endereços dos remetentes são semelhantes — por exemplo, [email protected] e [email protected] — acredita-se que os atores de ameaças provavelmente estão usando algum tipo de utilitário de construtor de e-mails que facilita a criação em massa e o envio de e-mails de phishing via nós REM Proxy.
As mensagens atuam como um condutor para entregar um link, que está embutido diretamente no corpo da mensagem ou dentro de um anexo em PDF.
Clicar no link inicia uma série de redirecionamentos via Rebrandly que, em última análise, levam a vítima a uma página falsa do Google Drive ou Microsoft OneDrive, filtrando máquinas que foram sinalizadas como sandboxes ou consideradas não interessantes para os atacantes.
É nesta fase que as cadeias de ataque se dividem em duas, pois a infraestrutura adversária para a qual os alvos são redirecionados é diferente, pavimentando o caminho para o TransferLoader no caso do UNK_GreenSec e uma cepa de malware chamada SlipScreen no caso do TA829.
"O TA829 e o UNK_GreenSec implantaram a utilidade PLINK do Putty para configurar túneis SSH, e ambos usaram serviços IPFS para hospedar essas utilidades em atividades subsequentes," a Proofpoint observou.
O SlipScreen é um loader de primeira fase que é projetado para descriptografar e carregar shellcode diretamente na memória e iniciar comunicações com um servidor remoto, mas somente após uma verificação no Registro do Windows para garantir que o computador alvo tenha pelo menos 55 documentos recentes com base na chave "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs".
"Avaliamos que 55 é um número arbitrário escolhido pelo ator, e é um palpite de melhor tentativa para determinar se um host é 'real' ou se é um sandbox," disse Greg Lesnewich, pesquisador sênior de ameaças da Proofpoint.
"Versões anteriores do loader verificaram que pelo menos 100 documentos recentes foram registrados no Registro; não está claro por que essa mudança foi feita." A sequência de infecção é então usada para implantar um downloader chamado MeltingClaw (também conhecido como DAMASCENED PEACOCK) ou RustyClaw, que é então usado para soltar backdoors como ShadyHammock ou DustyHammock, sendo o primeiro usado para lançar SingleCamper (também conhecido como SnipBot), uma versão atualizada do RomCom RAT.
DustyHammock, além de executar comandos de reconhecimento em um sistema infectado, vem equipado com a capacidade de baixar payloads adicionais hospedados na rede InterPlanetary File System (IPFS).
Campanhas propagando o TransferLoader foram encontradas alavancando mensagens temáticas de oportunidade de emprego para enganar vítimas a clicar em um link que ostensivamente leva a um currículo em PDF, mas, na realidade, resulta no download do TransferLoader de um compartilhamento web IPFS.
O objetivo principal do TransferLoader é voar sob o radar e servir mais malware, como o Metasploit e o ransomware Morpheus, uma versão reembalada do ransomware HellCat.
"Diferente das campanhas do TA829, os componentes JavaScript das campanhas do TransferLoader redirecionavam os usuários para um diferente endpoint PHP no mesmo servidor, o que permite que o operador conduza mais filtragem do lado do servidor," a Proofpoint disse.
"O UNK_GreenSec usou uma página de destino dinâmica, muitas vezes irrelevante para a falsificação do OneDrive, e redirecionou os usuários para o payload final que estava armazenado em um compartilhamento web IPFS." O entrelaçamento do modus operandi entre o TA829 e o UNK_GreenSec levanta uma das quatro possibilidades:
- Os atores de ameaça estão adquirindo distribuição e infraestrutura de um mesmo provedor de terceiros.
- O TA829 adquire e distribui infraestrutura por conta própria e forneceu esses serviços ao UNK_GreenSec.
- O UNK_GreenSec é o provedor de infraestrutura que normalmente oferece seus warez ao TA829, mas decidiu usá-lo temporariamente para entregar seu próprio malware, o TransferLoader.
- TA829 e UNK_GreenSec são um só e o mesmo, e o TransferLoader é uma nova adição ao seu arsenal de malware.
"No cenário atual de ameaças, os pontos em que a atividade de cibercrime e espionagem se sobrepõem continuam a aumentar, removendo as barreiras distintas que separam atores criminosos e estatais," disse a Proofpoint.
"Campanhas, indicadores e comportamentos de atores de ameaças convergiram, tornando a atribuição e agrupamento dentro do ecossistema mais desafiadores."
Embora não haja evidências suficientes para substanciar a natureza exata do relacionamento entre o TA829 e o UNK_GreenSec, é muito provável que haja um vínculo entre os grupos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...