Os computadores russos piratas ‘Gameardon’ usam 8 novas cargas úteis de malware em ataques

Hackers ligados à Rússia conhecidos como 'Gamaredon' (também conhecido como Armageddon ou Shuckworm) foram vistos implantando oito binários personalizados em operações de espionagem cibernética contra entidades ucranianas.

Acredita-se que esse grupo de hackers seja operado diretamente pelo FSB (Serviço Federal de Segurança) russo e tenha sido responsável por milhares de ataques na Ucrânia desde 2013.

Pesquisadores da equipe Threat Hunter da Symantec, parte da Broadcom Software, analisaram oito amostras de malware usadas pelo Gamaredon contra alvos ucranianos em ataques recentes, que podem fornecer informações essenciais para os defensores se protegerem contra a onda de ataques em andamento.

Arquivos usados ​​em ataques recentes do Gamaredon

De acordo com o relatório da Symantec, os ataques monitorados começaram em julho com a disseminação de e-mails de spear phishing contendo documentos do Word com macros.

Esses arquivos iniciaram um arquivo VBS que removeu o "Pteranodon", um backdoor bem documentado que a Gamaredon vem desenvolvendo e aprimorando há quase sete anos.

No entanto, embora os ataques recentes ainda sejam realizados usando e-mails de phishing, esses ataques agora eliminam oito cargas úteis diferentes, conforme descrito abaixo.

Os oito arquivos amostrados pelos analistas da Symantec de ataques recentes do Gamaredon são binários 7-zip de extração automática que minimizam os requisitos de interação do usuário.

  • descend.exe – Executa para soltar um arquivo VBS em "%USERPROFILE% Downloads deerbrook.ppt" e "%PUBLIC% Pictures deerbrook.ppt" e cria uma tarefa agendada no sistema comprometido. O VBS entra em contato com C2 e obtém a carga útil.
  • deep-sunken.exe – A carga útil baixada que é executada para descartar mais quatro arquivos no computador comprometido: baby.cmd, baby.dat, basement.exe (binário wget), vb_baby.vbs. Uma nova tarefa agendada é criada e C2 é contatado novamente para a próxima carga útil.
  • z4z05jn4.egf.exe – A carga útil do próximo estágio, que é semelhante à anterior, mas tem um C2 diferente, coloca os arquivos em pastas diferentes e usa nomes de arquivo diferentes.
  • defiant.exe – Executa para colocar arquivos VBS em "% TEMP% \\ deep-versed.nls" e "% PUBLIC Pictures deep-versed.nls", depois cria uma tarefa agendada para execução.
  • deep-green.exe – ferramenta de administração remota UltraVNC que se conecta a um repetidor.
  • deep-green.exe – Explorador de processos binários para Microsoft Windows.
  • deep-green.exe – Igual ao defiant.exe, mas com codificação C2 e nomes de arquivo diferentes.
  • deep-green.exe – Coloca VBS em "% PUBLIC% Music" e cria uma tarefa agendada que procura por unidades removíveis no sistema infectado.

Outros indicadores de comprometimento incluem URLs e IPs C2 atribuídos pela AS9123 TimeWeb Ltd., todos os quais usam uma estrutura de URI exclusiva, conforme mostrado abaixo:

  • http + IP + /.php?=, OU
  • http + IP + /.php?=,-

Além disso, os diretórios mais comuns que hospedam arquivos maliciosos são:

  • links profile_csidl
  • pesquisas csidl_profile
  • CSIDL_PROFILEappdatalocaltemp
  • CSIDL_PROFILE

O relatório da Symantec também conclui que muitos dos arquivos excluídos têm hashes de processos pai desconhecidos que não foram analisados, portanto, partes da operação do Gamaredon permanecem obscuras.

Hashes de arquivos para novas cargas de malware descobertos pela Symantec podem ser encontrados em seu relatório.

  • Como criar uma tabela personalizada com uma macro no Microsoft Word
  • Como atualizar manualmente seu Google Pixel carregando OTA

descubra mais conteúdo

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é uma carga fantasma?

Ir arriba