Symantec encontra evidências de contínuas campanhas de hackers russos na Ucrânia

O grupo APT Armageddon foi identificado como agindo contra a Ucrânia no final do ano ado, e os próprios dados da Symantec confirmam os apresentados pelo Serviço de Segurança da Ucrânia.

Pesquisadores de segurança da Symantec apresentaram o que disseram ser mais uma evidência de que a equipe russa avançada de hackers de ameaças persistentes, conhecida como Shuckworm, está realizando ativamente uma campanha de espionagem cibernética contra organizações na Ucrânia.

De acordo com um relatório do Serviço de Segurança da Ucrânia divulgado em novembro de 2021, Shuckworm, também conhecido por Armageddon, Gamaredon, Primitive Bear e outros apelidos, é relativamente novo no mundo APT. A SSU acredita que a Shuckworm foi fundada em 2013 ou 2014 e inicialmente operava com um perfil muito baixo. Apesar de sua relativa novidade no cenário, a SSU disse que “o grupo é capaz de se transformar em uma ameaça cibernética com consequências, cuja escala excederá o efeito negativo das atividades de [known Russian APTs APT28, SNAKE and APT29].”

A Symantec disse que suas descobertas são consistentes com o relatório da SSU, que afirma que o Shuckworm se tornou mais sofisticado desde 2017, cujo resultado final é um grupo com malware personalizado para se infiltrar e ferramentas legítimas para se manter conectado.

Anatomia de um ataque de espionagem cibernética

Há uma variedade de métodos que os APTs usam para estabelecer uma presença permanente nas redes das vítimas. No estudo de caso específico que a Symantec incluiu em seu relatório, o Shuckworm provavelmente usou um método de entrada testado e comprovado: Phishing.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

O ataque começou em 14 de julho de 2021 e continuou por mais de um mês, disse a Symantec, e tudo começou com um documento malicioso do Word. “Apenas cinco minutos após a abertura do documento, um comando suspeito também é executado para lançar um arquivo VBS malicioso”, disse a Symantec. Esse arquivo, por sua vez, instalou o software backdoor Pterodo que anteriormente estava vinculado ao Shuckworm.

A criação do Pterodo é o que a SSU disse que divide os primeiros dias do Shuckworm de seus anos posteriores mais perigosos. Antes da criação do Pterodo, a Shuckworm contava com ferramentas legítimas de o remoto como RMS e UltraVNC. Agora, através do uso do Pterodo, o Shuckworm é capaz de comprometer sistemas e reter o o, pois usa técnicas de vida fora da terra (usando ferramentas legítimas disponíveis no sistema infectado) para se mover lateralmente e roubar credenciais.

“Entre 29 de julho e 18 de agosto, a atividade continuou em que observamos os invasores implantando várias variantes de seu backdoor VBS personalizado, executando scripts VBS e criando tarefas agendadas semelhantes às detalhadas acima”, disse a Symantec. Após 18 de agosto, informa que nenhuma outra atividade foi detectada na máquina infectada.

Para aqueles que procuram indicadores de comprometimento, a Symantec disse que existem sete arquivos binários de extração automática que foram notados em ataques recentes do Shuckworm:

• descend.exe,
• deep-sunken.exe,
• z4z05jn4.egf.exe,
• desafiador.exe,
• E várias variantes de deep-green.exe.

“Quase todos os arquivos suspeitos são compostos de uma palavra que começa com a letra ‘d’, e alguns são compostos de duas palavras separadas por um ‘-‘ (a primeira palavra também começa com ‘d’)”, disse a Symantec.

A SSU disse em seu relatório de novembro que o Shuckworm foi responsável por mais de 5.000 ataques, 1.500 deles contra sistemas do governo ucraniano, desde 2014. A Symantec disse que “essa atividade mostra poucos sinais de diminuição”.

Como evitar ataques de phishing contra sua organização

Phishing e outros ataques de engenharia social podem ser devastadores se forem bem-sucedidos. Para piorar a situação, os phishers evoluem continuamente e mudam de tática para se adequar à situação atual, conforme evidenciado durante a pandemia do COVID-19.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Apesar de sua capacidade de devastar organizações, os ataques de phishing podem ser combatidos por meio da instalação de software de segurança capaz de identificar arquivos maliciosos em e-mail, treinamento adequado sobre como identificar phishing e implementação de outras práticas recomendadas de phishing que protegerão seus sistemas onde os usuários podem falhar.