Malware ataca defesa ucraniana
7 de Junho de 2024

A Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos visando as forças de defesa do país com um malware chamado SPECTR como parte de uma campanha de espionagem denominada SickSync.

A agência atribuiu os ataques a um agente de ameaça sob o codinome UAC-0020, que também é conhecido como Vermin e é avaliado como associado às agências de segurança da República Popular de Luhansk (LPR).

LPR foi declarada um estado soberano pela Rússia dias antes de sua invasão militar na Ucrânia em fevereiro de 2022.

As cadeias de ataque começam com e-mails de spear-phishing contendo um arquivo RAR auto extraível que contém um arquivo PDF como isca, uma versão trojanizada do aplicativo SyncThing que incorpora o payload SPECTR e um script em batch que ativa a infecção lançando o executável.

O SPECTR atua como um ladrão de informações, capturando screenshots a cada 10 segundos, coletando arquivos, reunindo dados de drives USB removíveis e roubando credenciais e informações de navegadores web e aplicativos como Element, Signal, Skype e Telegram.

"Ao mesmo tempo, para fazer upload de documentos roubados, arquivos, senhas e outras informações do computador, a funcionalidade de sincronização padrão do software legítimo Syncthing foi utilizada, que, entre outras coisas, suporta o estabelecimento de uma conexão peer-to-peer entre computadores," disse o CERT-UA.

SickSync marca o retorno do grupo Vermin após uma longa ausência, observado anteriormente orquestrando campanhas de phishing visando órgãos do estado da Ucrânia para implantar o malware SPECTR em março de 2022.

SPECTR é conhecido por ter sido utilizado pelo agente desde 2019.

Vermin também é o nome atribuído a um trojan de acesso remoto .NET que foi utilizado para atacar várias instituições do governo ucraniano por quase oito anos.

Sua primeira aparição pública foi reportada pela Unit 42 da Palo Alto Networks em janeiro de 2018, com uma análise subsequente da ESET rastreando a atividade do atacante até outubro de 2015.

A divulgação ocorre enquanto o CERT-UA alertou sobre ataques de engenharia social que utilizam o aplicativo de mensagens instantâneas Signal como um vetor de distribuição para entregar um trojan de acesso remoto chamado DarkCrystal RAT (também conhecido como DCRat).

Eles foram vinculados a um cluster de atividade codinome UAC-0200.

"Novamente, notamos uma tendência ao aumento na intensidade dos ataques cibernéticos usando mensageiros e contas legítimas comprometidas," disse a agência.

Ao mesmo tempo, de uma forma ou de outra, a vítima é encorajada a abrir o arquivo no computador.

Isso também segue a descoberta de uma campanha de malware conduzida por hackers patrocinados pelo estado bielorrusso conhecidos como GhostWriter (também conhecido como UAC-0057 e UNC1151) que empregam documentos Microsoft Excel armadilhados em ataques direcionados ao Ministério da Defesa da Ucrânia.

Ao executar o documento Excel, que contém uma Macro VBA incorporada, ele libera um arquivo LNK e um arquivo carregador DLL," disse a Symantec, de propriedade da Broadcom.

Posteriormente, executar o arquivo LNK inicia o carregador DLL, potencialmente levando a uma suspeita de payload final incluindo AgentTesla, beacons de Cobalt Strike e njRAT.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...