YoroTrooper: Pesquisadores Alertam sobre o Grupo de Ciberespionagem Furtivo do Cazaquistão
26 de Outubro de 2023

Um ator de ameaça relativamente novo, conhecido como YoroTrooper, provavelmente é composto por operadores originários do Cazaquistão.

A avaliação, que vem da Cisco Talos, é baseada em sua fluência em cazaque e russo, uso de Tenge para pagar pela infraestrutura operacional e visando muito limitadamente as entidades cazaques, exceto a Agência Anti-Corrupção do governo.

"YoroTrooper tenta ofuscar a origem de suas operações, empregando várias táticas para fazer sua atividade maliciosa parecer emanar do Azerbaijão, como usar nós de saída VPN locais a essa região", disseram os pesquisadores de segurança Asheer Malhotra e Vitor Ventura.

Primeiramente documentada pela empresa de cibersegurança em março de 2023, o adversário é conhecido por estar ativo desde pelo menos junho de 2022, singulamente apontando várias entidades estatais nos países da Commonwealth of Independent States (CIS).

A firma de cibersegurança eslovaca ESET está rastreando a atividade sob o nome SturgeonPhisher.

Os ciclos de ataque do YoroTrooper dependem principalmente de spear-phishing para distribuir uma variedade de malware de fonte aberta, embora o grupo também tenha sido observado usando o vetor de acesso inicial para direcionar as vítimas para sites de colheita de credenciais controlados pelo atacante.

"A prática de colheita de credenciais é complementar às operações baseadas em malware do YoroTrooper, com o objetivo final sendo o roubo de dados", disseram os pesquisadores.

A divulgação pública das campanhas desse ator de ameaças provocou uma reformulação tática de seu arsenal, passando de malware commodity para ferramentas personalizadas programadas em Python, PowerShell, Golang e Rust.

Os fortes laços do ator com o Cazaquistão decorrem do fato de regularmente realizar varreduras de segurança no serviço de email de propriedade do estado, mail[.]kz, indicando esforços contínuos para monitorar o site em busca de possíveis vulnerabilidades de segurança.

Ele também verifica periodicamente as taxas de conversão de moeda entre Tenge e Bitcoin no Google ("btc to kzt") e usa o alfachange[.]com para converter Tenge em Bitcoin e pagar pela manutenção da infraestrutura.

A partir de junho de 2023, o direcionamento do YoroTrooper aos países da CIS foi acompanhado por um maior foco em implantes personalizados, enquanto simultaneamente usa scanners de vulnerabilidade como o Acunetix e dados de código aberto de motores de busca como o Shodan para localizar e infiltrar-se nas redes das vítimas.

Alguns dos alvos incluíram a Câmara de Comércio do Tajiquistão, a Agência de Controle de Drogas, o Ministério das Relações Exteriores, o KyrgyzKomur do Quirguistão e o Ministério da Energia da República do Uzbequistão.

Outro aspecto notável é o uso de contas de email para registrar e comprar ferramentas e serviços, incluindo uma assinatura da NordVPN e uma instância VPS de netx[.]hosting por $16 por mês.

Uma grande atualização na cadeia de infecção envolve portar seu trojan de acesso remoto (RAT) baseado em Python para o PowerShell, bem como empregar um shell interativo reverse personalizado para executar comandos em pontos de extremidade infectados via cmd.exe. O RAT do PowerShell é projetado para aceitar comandos de entrada e exfiltrar dados via Telegram.

Além de experimentar vários tipos de veículos de entrega para seus backdoors, o YoroTrooper é dito ter adicionado malware baseado em Golang e Rust a partir de setembro de 2023, permitindo que ele estabeleça um shell reverso e colha dados sensíveis.

"Seus implantes baseados em Golang são portas do RAT baseado em Python que usam canais de Telegram para exfiltração de arquivos e comunicação C2", explicaram os pesquisadores.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...