As organizações russas estão sendo alvo de ataques cibernéticos que entregam uma versão para Windows de um malware chamado Decoy Dog.
A empresa de cibersegurança Positive Technologies está monitorando o agrupamento de atividades sob o nome de Operação Lahat, atribuindo-o a um grupo de ameaça persistente avançada (APT) chamado HellHounds.
"O grupo Hellhounds compromete as organizações que selecionam e ganha um ponto de apoio em suas redes, permanecendo não detectado por anos," disseram os pesquisadores de segurança Aleksandr Grigorian e Stanislav Pyzhov.
Ao fazer isso, o grupo aproveita vetores de comprometimento primários, desde serviços web vulneráveis até relações de confiança.
O HellHounds foi documentado pela primeira vez pela empresa no final de novembro de 2023, após o comprometimento de uma empresa de energia sem nome com o trojan Decoy Dog.
Está confirmado que infiltrou 48 vítimas na Rússia até o momento, incluindo empresas de TI, governos, firmas da indústria espacial e provedores de telecomunicações.
Há evidências indicando que o ator de ameaça vem mirando em empresas russas desde pelo menos 2021, com o desenvolvimento do malware em andamento desde novembro de 2019.
Detalhes sobre o Decoy Dog, uma variante personalizada do Pupy RAT de código aberto, surgiram em abril de 2023, quando a Infoblox revelou o uso do malware de tunneling DNS para comunicações com seu servidor de comando e controle (C2) para controlar remotamente os hosts infectados.
Uma característica notável do malware é sua capacidade de mover vítimas de um controlador para outro, permitindo que os atores de ameaça mantenham comunicação com máquinas comprometidas e permaneçam escondidos por períodos prolongados.
Ataques envolvendo o toolkit sofisticado foram principalmente confinados à Rússia e à Europa Oriental, sem mencionar que visavam exclusivamente sistemas Linux, embora a Infoblox tenha insinuado a possibilidade de uma versão para Windows.
"Referências ao Windows no código sugerem a existência de um cliente Windows atualizado que inclui as novas capacidades do Decoy Dog, embora todas as amostras atuais estejam mirando em Linux," a Infoblox observou em julho de 2023.
As últimas descobertas da Positive Technologies confirmam a presença de uma versão idêntica do Decoy Dog para Windows, que é entregue a hosts críticos por meio de um loader que emprega infraestrutura dedicada para obter a chave para descriptografar o payload.
Análises adicionais revelaram o uso do HellHounds de uma versão modificada de outro programa de código aberto conhecido como 3snake para obter credenciais em hosts executando Linux.
A Positive Technologies disse que, em pelo menos dois incidentes, o adversário conseguiu obter acesso inicial à infraestrutura das vítimas por meio de um contratante usando credenciais de login Secure Shell (SSH) comprometidas.
"Os atacantes têm sido capazes de manter sua presença dentro de organizações críticas localizadas na Rússia por muito tempo," disseram os pesquisadores.
Embora praticamente todo o toolkit do Hellhounds seja baseado em projetos de código aberto, os atacantes fizeram um trabalho bastante bom modificando-o para burlar defesas contra malware e garantir uma presença oculta prolongada dentro de organizações comprometidas.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...