Pesquisadores de cibersegurança revelaram detalhes sobre um ator de ameaças conhecido como Sticky Werewolf, que foi associado a ataques cibernéticos visando entidades na Rússia e em Belarus.
Os ataques de phishing visavam uma empresa farmacêutica, um instituto de pesquisa russo que lida com microbiologia e desenvolvimento de vacinas e o setor de aviação, indo além do foco inicial em organizações governamentais, disse a Morphisec em um relatório na semana passada.
"Em campanhas anteriores, a cadeia de infecção começava com emails de phishing contendo um link para baixar um arquivo malicioso de plataformas como gofile.io", disse o pesquisador de segurança Arnold Osipov.
Esta campanha mais recente usou arquivos compactados contendo arquivos LNK apontando para um payload armazenado em servidores WebDAV.
Sticky Werewolf, um dos muitos atores de ameaças visando a Rússia e Belarus, como Cloud Werewolf (também conhecido como Inception e Cloud Atlas), Quartz Wolf, Red Wolf (também conhecido como RedCurl) e Scaly Wolf, foi documentado pela primeira vez pela BI.ZONE em outubro de 2023.
O grupo acredita-se estar ativo desde pelo menos abril de 2023.
Ataques anteriores documentados pela firma de cibersegurança exploravam emails de phishing com links para payloads maliciosos que culminavam na implantação do trojan de acesso remoto NetWire (RAT), que teve sua infraestrutura derrubada no início do ano passado, após uma operação de aplicação da lei.
A nova cadeia de ataque observada pela Morphisec envolve o uso de um anexo de arquivo RAR que, ao ser extraído, contém dois arquivos LNK e um documento PDF de isca, com este último se apresentando como um convite para uma videoconferência e instando os destinatários a clicar nos arquivos LNK para obter a agenda da reunião e a lista de distribuição de email.
Abrir qualquer um dos arquivos LNK aciona a execução de um binário hospedado em um servidor WebDAV, o que leva ao lançamento de um script Windows em lote ofuscado.
O script, por sua vez, é projetado para executar um script AutoIt que, finalmente, injeta o payload final, ao mesmo tempo que contorna softwares de segurança e tentativas de análise.
"Este executável é um arquivo auto-extraível NSIS que faz parte de um crypter previamente conhecido, chamado CypherIT", disse Osipov.
Embora o crypter CypherIT original não esteja mais sendo vendido, o executável atual é uma variante dele, conforme observado em alguns fóruns de hackers. O objetivo final da campanha é entregar RATs de commodidade e malwares ladrões de informações, como Rhadamanthys e Ozone RAT.
"Embora não haja evidências definitivas apontando para uma origem nacional específica para o grupo Sticky Werewolf, o contexto geopolítico sugere possíveis ligações com um grupo de ciberespionagem pró-ucraniano ou hacktivistas, mas essa atribuição permanece incerta", disse Osipov.
O desenvolvimento vem à medida que a BI.ZONE revelou um cluster de atividade codinome Sapphire Werewolf que foi atribuído como estando por trás de mais de 300 ataques aos setores de educação, manufatura, TI, defesa e engenharia aeroespacial russos usando Amethyst, um derivado do popular open-source SapphireStealer.
A empresa russa, em março de 2024, também descobriu clusters denominados Fluffy Wolf e Mysterious Werewolf que utilizaram iscas de spear-phishing para distribuir Remote Utilities, minerador XMRig, WarZone RAT e um backdoor personalizado chamado RingSpy.
"O backdoor RingSpy possibilita que um adversário execute comandos remotamente, obtenha seus resultados e baixe arquivos de recursos de rede", observou.
O servidor de comando e controle (command-and-control) do backdoor é um bot do Telegram.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...