Grupo Gamaredon envia ataques à Ucrânia
O grupo de espionagem cibernética patrocinado pelo Estado russo conhecido como Gamaredon continuou seu ataque digital contra a Ucrânia, com ataques recentes alavancando o popular aplicativo de mensagens Telegram para atacar setores militares e de aplicação da lei no país.
“A infraestrutura de rede do grupo Gamaredon depende de contas Telegram de vários estágios para criação de perfis de vítimas e confirmação de localização geográfica e, finalmente, leva a vítima ao servidor de próximo estágio para a carga final”, disse o BlackBerry Research and Intelligence Team em um relatório compartilhado com o Hacker News. “Esse tipo de técnica para infectar sistemas de destino é novo.”
Leia mais:
Samsung Galaxy Store tem vulnerabilidade detectadaAnonymous divulga lista com 110 empresas suspeitas de financiar ataques terroristasT-Mobile afirma que hacker acessou dados pessoais de 37 milhões de consumidores
Gamaredon, também conhecido por nomes como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa e Winterflounder, é conhecido por seus ataques direcionados a entidades ucranianas desde pelo menos 2013.
No mês passado, a Unidade 42 da Palo Alto Networks divulgou as tentativas malsucedidas do agente da ameaça de invadir uma empresa de refino de petróleo não identificada em estado-membro da OTAN em meio à guerra russo-ucraniana.
As cadeias de ataque montadas pelo agente da ameaça empregaram documentos legítimos do Microsoft Office originários de organizações do governo ucraniano como iscas em e-mails de spear phishing para entregar malware capaz de coletar informações confidenciais.
Esses documentos, quando abertos, carregam um modelo malicioso de uma fonte remota (uma técnica chamada injeção de modelo remoto), contornando efetivamente a necessidade de habilitar macros para violar os sistemas de destino e propagar a infecção.
As últimas descobertas da BlackBerry demonstram uma evolução nas táticas do grupo, em que um canal de Telegram codificado é usado para buscar o endereço IP do servidor que hospeda o malware. Os endereços IP são alternados periodicamente para voar sob o radar.
Para esse fim, o modelo remoto é projetado para buscar um script VBA, que descarta um arquivo VBScript que se conecta ao endereço IP especificado no canal Telegram para buscar o próximo estágio – um script PowerShell que, por sua vez, alcança um endereço IP diferente para obter um arquivo PHP.
Este arquivo PHP tem a tarefa de entrar em contato com outro canal do Telegram para recuperar um terceiro endereço IP que contém a carga final, que é um malware de roubo de informações que foi revelado anteriormente pelo Cisco Talos em setembro de 2022.
Também vale ressaltar que o script VBA fortemente ofuscado só é entregue se o endereço IP do alvo estiver localizado na Ucrânia. “O grupo de ameaças muda os endereços IP dinamicamente, o que torna ainda mais difícil automatizar a análise por meio de técnicas de sandbox depois que a amostra envelhece”, apontou BlackBerry.
“O fato de os endereços IP suspeitos mudarem apenas durante o horário de trabalho do Leste Europeu sugere fortemente que o agente da ameaça trabalha em um local e, com toda probabilidade, pertence a uma unidade cibernética ofensiva que implanta operações maliciosas contra a Ucrânia”.
O desenvolvimento ocorre quando a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) atribuiu um ataque de malware destrutivo direcionado à Agência Nacional de Notícias da Ucrânia ao grupo de hackers Sandworm, vinculado à Rússia.
Via The Hacker News
Imagem destacada: DANIEL CONSTANTE/Shutterstock
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
O post Grupo Gamaredon envia ataques à Ucrânia apareceu primeiro em Olhar Digital.
