Grupo de Hackers Russo Shuckworm Ainda Alvo de Organizações de Segurança da Ucrânia

Analistas de segurança da Symantec, parte da Broadcom, relataram que o grupo de hackers financiado pelo estado russo Gamaredon, também conhecido como Shuckworm, ainda está visando as organizações de segurança da Ucrânia, como agências militares e de segurança, utilizando um conjunto de ferramentas renovado e novas técnicas de infecção.

Os analistas de segurança mencionam que os atores da ameaça começaram recentemente a usar malware USB para se espalhar por mais sistemas dentro da rede comprometida.

Anteriormente, os hackers russos ligados ao FSB foram vistos usando ladrões de informações contra organizações ucranianas e empregando variantes de seu próprio malware Pterodo, além de utilizar sequestradores de modelos padrão do Word para as novas infecções.

Agora, o que é mais interessante na recente atividade do Gamaredon é que eles estão visando departamentos de RH, o que provavelmente indica que os atores da ameaça estão buscando ataques de spear phishing dentro da organização comprometida.

De acordo com o relatório do analista, a atividade do grupo de hackers russo aumentou em fevereiro e março, e o Gamaredon continuou a fazer sua presença sentir em algumas das máquinas infectadas até maio de 2023.

O grupo de hackers apoiado pelo estado russo ainda depende de e-mails de phishing para a infecção inicial. Embora o alvo dos atores da ameaça sejam organizações militares e de segurança, que também se concentram no departamento de RH da organização.

Os e-mails de phishing dos atores da ameaça incluem anexos SFX, RAR, DOCX, LNK e HTA; se o alvo os abrir, os anexos iniciam o comando PowerShell que baixa a carga útil do Pterodo do servidor C2 do ator da ameaça.

A equipe de pesquisa de ameaças da Symantec menciona que testaram vinte e cinco variantes dos scripts do PowerShell de janeiro a abril deste ano, usando níveis variados de ofuscação e apontando para diferentes endereços IP baixados do Pterodo para evitar regras de detecção estáticas.

Leia: Ransomware Royal Usa o Encryptor Blacksuit para Atacar Empresas

Bem, o PowerShell se copia no dispositivo comprometido e cria um arquivo de atalho usando uma extensão rtk.lnk. Os LNK feitos pelos scripts têm uma ampla gama de nomes, e alguns deles são selecionados para despertar o interesse do alvo, como,

Login_password. docx.Ink  
sectret.rtf.Ink  
weapons_lists.rtf.Ink  
my_photos.rtf.Ink  
compromising_evidence.rtf.Ink  
account_card.rtf.Ink  
pornophoto.rtf.Ink  
instructions.rtf.Ink  
bank_accounts.rtf.Ink

À medida que a vítima abre esses arquivos, o script PowerShell lista todos os drives no computador infectado e se copia para discos USB removíveis, o que aumenta a probabilidade de movimento lateral dentro da rede infectada.

Além disso, os analistas descobriram um arquivo foto.safe de uma das máquinas comprometidas pelo grupo de hackers, o arquivo contém um script PowerShell codificado em base64.

Agora, de acordo com a equipe de pesquisa de ameaças, a máquina foi comprometida após um pen drive infectado ser conectado à máquina. Dito isso, ainda não se sabe como o pen drive foi infectado.

A Symantec alerta e diz que os pen drives são possivelmente usados pelos atores da ameaça para o movimento lateral na rede do alvo e podem ser utilizados para ajudar os atores da ameaça a acessar os componentes que não estão conectados à rede dentro da organização alvo.

Leia: O Compromisso da Atomic Wallet Leva a Milhões de Criptomoedas Roubadas