O setor de defesa na Ucrânia e na Europa Oriental tem sido alvo de um novo backdoor baseado em .NET chamado DeliveryCheck (também conhecido como CAPIBAR ou GAMEDAY) capaz de entregar payloads de próxima etapa.
A equipe de inteligência de ameaças da Microsoft, em colaboração com a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), atribuiu os ataques a um ator do estado-nação russo conhecido como Turla, que também é rastreado sob os nomes Iron Hunter, Secret Blizzard (anteriormente Krypton), Uroburos, Venomous Bear e Waterbug.
Ele está ligado ao Serviço Federal de Segurança (FSB) da Rússia.
"O DeliveryCheck é distribuído por email como documentos com macros maliciosos", disse a empresa em uma série de tweets.
"Ele persiste por meio de uma tarefa agendada que o baixa e o lança na memória.
Ele também contata um servidor C2 para recuperar tarefas, que podem incluir o lançamento de payloads arbitrários incorporados em folhas de estilo XSLT."
O acesso inicial bem-sucedido também é acompanhado em alguns casos pela distribuição de um implante conhecido da Turla chamado Kazuar, que está equipado para roubar arquivos de configuração de aplicativos, logs de eventos e uma ampla gama de dados de navegadores da web.
O objetivo final dos ataques é extrair mensagens do aplicativo de mensagens Signal para Windows, permitindo que o adversário acesse conversas, documentos e imagens sensíveis nos sistemas alvo.
Um aspecto notável do DeliveryCheck é sua capacidade de violar servidores Microsoft Exchange para instalar um componente do lado do servidor usando a Configuração de Estado Desejado do PowerShell (DSC), uma plataforma de gerenciamento do PowerShell que ajuda os administradores a automatizar a configuração dos sistemas Windows.
"O DSC gera um arquivo Managed Object Format (MOF) que contém um script PowerShell que carrega um payload .NET incorporada na memória, transformando efetivamente um servidor legítimo em um centro de malware C2", explicou a Microsoft.
Essa divulgação ocorre à medida que a Polícia Cibernética da Ucrânia desmontou uma grande fazenda de bots com mais de 100 indivíduos supostamente espalhando propaganda hostil justificando a invasão russa, vazando informações pessoais pertencentes a cidadãos ucranianos e se envolvendo em vários esquemas de fraude.
Como parte da operação, buscas foram realizadas em 21 locais, levando à apreensão de equipamentos de computador, telefones celulares, mais de 250 gateways GSM e cerca de 150.000 cartões SIM pertencentes a diferentes operadoras móveis.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...