Uma nova campanha de ataque elaborada foi observada empregando malware PowerShell e VBScript para infectar sistemas Windows e coletar informações sensíveis.
A empresa de cibersegurança Securonix, que denominou a campanha DEEP#GOSU, disse que é provável que esteja associada ao grupo patrocinado pelo estado da Coreia do Norte rastreado como Kimsuky.
"As payloads do malware usadas no DEEP#GOSU representam uma ameaça sofisticada e multi-estágio projetada para operar de forma furtiva nos sistemas Windows, especialmente do ponto de vista de monitoramento de rede", disseram os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov em uma análise técnica compartilhada com o The Hacker News.
"Suas capacidades incluem registro de teclas, monitoramento de área de transferência, execução de payload dinâmica, exfiltração de dados e persistência, usando tanto software RAT para acesso remoto completo, tarefas agendadas, quanto scripts PowerShell de autoexecução usando trabalhos."
Um aspecto notável do procedimento de infecção é que ele utiliza serviços legítimos como Dropbox ou Google Docs para comando e controle (C2), permitindo assim que o ator da ameaça se misture de forma indetectável ao tráfego regular da rede.
Além disso, o uso de tais serviços em nuvem para preparar as payloads permite a atualização da funcionalidade do malware ou a entrega de módulos adicionais.
O ponto de partida é dito ser um anexo de e-mail malicioso contendo um arquivo ZIP com um arquivo de atalho falso (.LNK) que se disfarça como um arquivo PDF ("IMG_20240214_0001.pdf.lnk").
O arquivo .LNK vem incorporado com um script PowerShell e um documento PDF isca, com o primeiro também se conectando a uma infraestrutura do Dropbox controlada pelo ator para recuperar e executar outro script PowerShell ("ps.bin").
O script PowerShell de segunda fase, por sua vez, busca um novo arquivo do Dropbox ("r_enc.bin"), um arquivo de assembly .NET em forma binária que é na verdade um trojan de acesso remoto de código aberto conhecido como TruRat (também conhecido como TutRat ou C# RAT) com capacidades de gravar teclas, gerenciar arquivos e facilitar o controle remoto.
Vale a pena notar que o Kimsuky empregou o TruRat em pelo menos duas campanhas descobertas pelo AhnLab Security Intelligence Center (ASEC) no ano passado.
Também recuperado pelo script PowerShell do Dropbox é um VBScript ("info_sc.txt"), que, por sua vez, é projetado para executar código VBScript arbitrário recuperado do serviço de armazenamento em nuvem, incluindo um script PowerShell ("w568232.ps12x").
O VBScript também é projetado para usar o Windows Management Instrumentation (WMI) para executar comandos no sistema e configurar tarefas agendadas no sistema para persistência.
Outro aspecto notável do VBScript é o uso do Google Docs para recuperar dinamicamente os dados de configuração para a conexão do Dropbox, permitindo que o ator da ameaça mude as informações da conta sem ter que alterar o script em si.
O script PowerShell baixado como resultado está equipado para coletar informações extensas sobre o sistema e exfiltrar os detalhes por meio de uma solicitação POST para o Dropbox.
"O propósito deste script parece ser projetado para servir como uma ferramenta para comunicação periódica com um servidor de comando e controle (C2) via Dropbox", disseram os pesquisadores.
"Seus principais propósitos incluem criptografar e exfiltrar ou baixar dados." Em outras palavras, ele atua como uma backdoor para controlar os hosts comprometidos e manter continuamente um registro da atividade do usuário, incluindo teclas digitadas, conteúdo da área de transferência e a janela em primeiro plano.
O desenvolvimento ocorre quando o pesquisador de segurança Ovi Liber detalhou o embutimento de código malicioso da ScarCruft, vinculado à Coreia do Norte, dentro de documentos de isca do Hangul Word Processor (HWP) presentes em e-mails de phishing para distribuir malwares como o RokRAT.
"O e-mail contém um Doc HWP que tem um objeto OLE embutido na forma de um script BAT", disse Liber.
"Uma vez que o usuário clica no objeto OLE, o script BAT executa, o que por sua vez cria um ataque de injeção de DLL reflexiva baseada em PowerShell na máquina da vítima." Segue-se também a exploração da Andariel de uma solução legítima de desktop remoto chamada MeshAgent para instalar malwares como AndarLoader e ModeLoader, um malware JavaScript destinado à execução de comandos.
"Esta é a primeira utilização confirmada de um MeshAgent pelo grupo Andariel", disse a ASEC.
"O Grupo Andariel tem abusado continuamente das soluções de gestão de ativos de empresas domésticas para distribuir malware no processo de movimento lateral, a começar pelo Innorix Agent no passado." Andariel, também conhecida pelos nomes Nicket Hyatt ou Silent Chollima, é um subgrupo dentro do notório Lazarus Group, ativamente orquestrando ataques tanto para espionagem cibernética quanto para ganhos financeiros.
O prolífico ator de ameaças patrocinadas pelo Estado tem sido observado lavando uma parte dos ativos cripto roubados do hack da exchange de criptografia HTX e sua ponte cross-chain (também conhecida como HECO Bridge) através do Tornado Cash.
A violação resultou no roubo de US$ 112,5 milhões em criptomoeda em novembro de 2023.
"Seguindo padrões comuns de lavagem de cripto, os tokens roubados foram imediatamente trocados por ETH, usando trocas descentralizadas", disse a Elliptic.
"Os fundos roubados então ficaram dormentes até 13 de março de 2024, quando os ativos cripto roubados começaram a ser enviados através do Tornado Cash."
A empresa de análise de blockchain disse que a continuação das operações do Tornado Cash apesar das sanções provavelmente o tornou uma proposta atraente para o Grupo Lazarus ocultar seu rastro de transações após o fechamento do Sinbad em novembro de 2023.
"O mixer opera por meio de contratos inteligentes rodando em blockchains descentralizadas, por isso não pode ser apreendido e encerrado da mesma forma que os mixers centralizados como o Sinbad.io foram", ressaltou.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...