Um ator de ameaça relativamente novo, conhecido como YoroTrooper, provavelmente é composto por operadores originários do Cazaquistão.
A avaliação, que vem da Cisco Talos, é baseada em sua fluência em cazaque e russo, uso de Tenge para pagar pela infraestrutura operacional e visando muito limitadamente as entidades cazaques, exceto a Agência Anti-Corrupção do governo.
"YoroTrooper tenta ofuscar a origem de suas operações, empregando várias táticas para fazer sua atividade maliciosa parecer emanar do Azerbaijão, como usar nós de saída VPN locais a essa região", disseram os pesquisadores de segurança Asheer Malhotra e Vitor Ventura.
Primeiramente documentada pela empresa de cibersegurança em março de 2023, o adversário é conhecido por estar ativo desde pelo menos junho de 2022, singulamente apontando várias entidades estatais nos países da Commonwealth of Independent States (CIS).
A firma de cibersegurança eslovaca ESET está rastreando a atividade sob o nome SturgeonPhisher.
Os ciclos de ataque do YoroTrooper dependem principalmente de spear-phishing para distribuir uma variedade de malware de fonte aberta, embora o grupo também tenha sido observado usando o vetor de acesso inicial para direcionar as vítimas para sites de colheita de credenciais controlados pelo atacante.
"A prática de colheita de credenciais é complementar às operações baseadas em malware do YoroTrooper, com o objetivo final sendo o roubo de dados", disseram os pesquisadores.
A divulgação pública das campanhas desse ator de ameaças provocou uma reformulação tática de seu arsenal, passando de malware commodity para ferramentas personalizadas programadas em Python, PowerShell, Golang e Rust.
Os fortes laços do ator com o Cazaquistão decorrem do fato de regularmente realizar varreduras de segurança no serviço de email de propriedade do estado, mail[.]kz, indicando esforços contínuos para monitorar o site em busca de possíveis vulnerabilidades de segurança.
Ele também verifica periodicamente as taxas de conversão de moeda entre Tenge e Bitcoin no Google ("btc to kzt") e usa o alfachange[.]com para converter Tenge em Bitcoin e pagar pela manutenção da infraestrutura.
A partir de junho de 2023, o direcionamento do YoroTrooper aos países da CIS foi acompanhado por um maior foco em implantes personalizados, enquanto simultaneamente usa scanners de vulnerabilidade como o Acunetix e dados de código aberto de motores de busca como o Shodan para localizar e infiltrar-se nas redes das vítimas.
Alguns dos alvos incluíram a Câmara de Comércio do Tajiquistão, a Agência de Controle de Drogas, o Ministério das Relações Exteriores, o KyrgyzKomur do Quirguistão e o Ministério da Energia da República do Uzbequistão.
Outro aspecto notável é o uso de contas de email para registrar e comprar ferramentas e serviços, incluindo uma assinatura da NordVPN e uma instância VPS de netx[.]hosting por $16 por mês.
Uma grande atualização na cadeia de infecção envolve portar seu trojan de acesso remoto (RAT) baseado em Python para o PowerShell, bem como empregar um shell interativo reverse personalizado para executar comandos em pontos de extremidade infectados via cmd.exe. O RAT do PowerShell é projetado para aceitar comandos de entrada e exfiltrar dados via Telegram.
Além de experimentar vários tipos de veículos de entrega para seus backdoors, o YoroTrooper é dito ter adicionado malware baseado em Golang e Rust a partir de setembro de 2023, permitindo que ele estabeleça um shell reverso e colha dados sensíveis.
"Seus implantes baseados em Golang são portas do RAT baseado em Python que usam canais de Telegram para exfiltração de arquivos e comunicação C2", explicaram os pesquisadores.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...