A Equipe de Resposta a Emergência em Computadores da Ucrânia (CERT-UA) alertou que mais de 2.000 computadores no país foram infectados por uma cepa de malware chamada DirtyMoe.
A agência atribuiu a campanha a um ator de ameaça que chama de UAC-0027.
O DirtyMoe, ativo desde pelo menos 2016, é capaz de realizar ataques de criptojacking e de negação de serviço distribuído (DDoS).
Em março de 2022, a empresa de segurança cibernética Avast revelou a capacidade do malware de se propagar de maneira semelhante a um worm, aproveitando falhas de segurança conhecidas.
O botnet DDoS é conhecido por ser entregue por meio de outro malware, chamado Purple Fox, ou através de pacotes falsos de instalação MSI para softwares populares como o Telegram.
O Purple Fox também está equipado com um rootkit que permite aos atores de ameaças ocultar o malware na máquina e torná-lo difícil de detectar e remover.
O vetor de acesso inicial exato usado na campanha que tem como alvo a Ucrânia é atualmente desconhecido.
A CERT-UA está recomendando que as organizações mantenham seus sistemas atualizados, imponham a segmentação de rede e monitorem o tráfego de rede para qualquer atividade anômala.
Essas informações surgem enquanto a Securonix detalha uma campanha de phishing em andamento conhecida como STEADY#URSA, que tem como alvo o pessoal militar ucraniano com o objetivo de entregar um backdoor sob medida do PowerShell apelidado de SUBTLE-PAWS.
Os pesquisadores de segurança Den Iuzvyk, Tim Peck e Oleg Kolesnikov disseram que: "A cadeia de exploração é relativamente simples: envolve o alvo executando um arquivo de atalho malicioso (.lnk) que carrega e executa um novo código de payload de backdoor PowerShell (encontrado dentro de outro arquivo contido no mesmo arquivo)."
O ataque está ligado a um ator de ameaça conhecido como Shuckworm, que também é conhecido como Aqua Blizzard (anteriormente Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 e Winterflounder.
Ativo desde pelo menos 2013, acredita-se que seja parte do Serviço Federal de Segurança (FSB) da Rússia.
O SUBTLE-PAWS, além de configurar a persistência no host, usa a plataforma de blogging do Telegram chamada Telegraph para recuperar as informações de comando e controle (C2), uma técnica identificada anteriormente como associada ao adversário desde o início de 2023, e pode se propagar através de unidades acopláveis.
A capacidade do Gamaredon de se espalhar por meio de drives USB também foi documentada pela Check Point em novembro de 2023, que nomeou o worm USB baseado em PowerShell de LitterDrifter.
"O novo ataque da payload SUBTLE-PAWS pode ser visto como uma evolução das payload de ataque do ator de ameaça malicioso envolvido na campanha [LitterDrifter]", disse Kolesnikov, vice-presidente de pesquisa de ameaças e ciência de dados/IA na Securonix, ao The Hacker News.
"Por exemplo, LitterDrifter é baseado em vbscript.
SUBTLE-PAWS é PowerShell.
Também existem diferenças em como essas payloads funcionam, o SUBTLE-PAWS usa um mecanismo de persistência diferente, por exemplo."
"O backdoor SUBTLE-PAWS usa técnicas avançadas para executar payloads maliciosas dinamicamente", disseram os pesquisadores.
"Eles armazenam e recuperam código executável do PowerShell do Registro do Windows, o que pode ajudar a evitar métodos tradicionais de detecção baseados em arquivos.
Essa abordagem também ajuda a manter a persistência no sistema infectado, pois o malware pode se iniciar novamente após reinicializações ou outras interrupções."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...