Grupo cibernético Shuckworm da Rússia lança ataques contínuos à Ucrânia

Malware baixando registro de dados e outras ferramentas de espionagem destinadas a organizações ucranianas.

O grupo cibernético Shuckworm, ligado à Rússia, continua a atacar organizações ucranianas com malware de roubo de informações. De acordo com a equipe de caçadores de ameaças da Symantec, parte da Broadcom Software, grande parte da atividade atual é uma extensão dos ataques que foram relatados pelo Computer Emergency Response Team of Ukraine (CERT-UA) em julho.

Shuckworm (também conhecido como Gamaredon, Armageddon) é um grupo de crimes cibernéticos de oito anos que se concentra quase exclusivamente na Ucrânia, disse a Symantec.

“O Shuckworm é geralmente considerado uma operação de espionagem…”, disse Brigid O’Gorman, analista sênior de inteligência da equipe Symantec Threat Hunter. “O medo da exposição não parece impedir a Shuckworm de continuar suas atividades.”

A carga útil do infostealer é capaz de gravar áudio usando o microfone do sistema, fazer capturas de tela, registrar pressionamentos de tecla e baixar e executar arquivos .exe e .dll.

Vetor de infecção

A Symantec disse que o Shuckworm usou arquivos 7-Zip de extração automática, que foram baixados por e-mail. Os binários nos arquivos 7-Zip posteriormente baixaram mshta.exe, um arquivo XML, que provavelmente estava disfarçado como um aplicativo HTML, do domínio a0698649[.]xsph[.]ru. Foi documentado publicamente desde maio de 2022 que os subdomínios de xsph[.]ru estão associados à atividade do Shuckworm.

Este domínio foi usado em um ataque de phishing falsificando o Serviço de Segurança da Ucrânia com “Boletim de Inteligência” na linha de assunto, de acordo com o CERT-UA.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Cadeia de Ataque

A execução de mshta.exe executou um ladrão do PowerShell. A Symantec registrou três versões do mesmo ladrão do PowerShell em um sistema.

“É possível que os invasores tenham implantado várias versões do ladrão, todas muito semelhantes, como uma tentativa de evitar a detecção”, disse a Symantec em um post no blog detalhando os ataques.

Dois ers VBS com as palavras “suco” e “justiça” em seus nomes de arquivo também foram vistos nas máquinas das vítimas. Esses nomes de arquivo estão associados ao Backdoor.Pterodo, um conhecido script Shuckworm capaz de chamar PowerShells, fazer de capturas de tela e também executar código baixado de um servidor de comando e controle, disse a Symantec.

Shuckworm também está implantando o backdoor Giddome, outra ferramenta de espionagem bem conhecida. Algumas dessas variantes do Giddome podem ter se originado de arquivos VCD, H264 ou ASC. Semelhante aos arquivos .ISO, os arquivos VCD são imagens de um CD ou DVD reconhecidos pelo Windows como um disco real.

As ferramentas legítimas de protocolo de desktop remoto Ammyy e AnyDesk também foram aproveitadas pelos invasores para o remoto – uma tática comum usada por gangues cibernéticas, disse a Symantec.

Para proteger sua organização do Shuckworm, Gorman disse:

• Adote uma estratégia de defesa em profundidade usando várias tecnologias de detecção, proteção e proteção
• Monitore o uso de ferramentas de uso duplo dentro da rede
• Use a versão mais recente do PowerShell com o log habilitado
• Auditar e controlar o uso de contas istrativas de TI
• Use credenciais únicas para es de TI
• Crie perfis de uso para es de TI e suas ferramentas, pois muitas dessas ferramentas são usadas por invasores para se moverem lateralmente em uma rede
• Implemente a autenticação multifator
• Examine seus sistemas para os indicadores de comprometimento