Uma análise recente das empresas de segurança cibernética Symantec e Carbon Black revela que os agentes de ameaças ligados à Rússia conduziram campanhas sofisticadas contra entidades ucranianas, contando com técnicas de viver fora da terra e malware mínimo. Essas operações tiveram como alvo uma grande organização de serviços empresariais por dois meses e um órgão do governo local por uma semana, de acordo com as descobertas.
Os ataques começaram com a implantação de web shells em servidores voltados para o público dentro da rede da organização empresarial, provavelmente após a exploração de uma ou mais vulnerabilidades não corrigidas. Depois que o acesso foi estabelecido, os invasores usaram ferramentas nativas, como o PowerShell, para evitar a detecção, configurando tarefas agendadas e criando despejos de memória a cada trinta minutos.
Entre as ferramentas usadas pelos invasores estava o “LocalOlive”, um web-shell anteriormente atribuído a um subgrupo da equipe Sandworm ligada à Rússia dentro do que é conhecido como campanha BadPilot. Apesar dessa conexão, os pesquisadores ainda não encontraram provas definitivas de que a campanha faz parte das atividades do Sandworm.
Os invasores também executaram comandos para listar os processos em execução começando com “kee”, sugerindo que provavelmente tinham como alvo o cofre do gerenciador de senhas KeePass. Eles então instalaram software como o OpenSSH, modificaram as regras de tráfego de rede, criaram tarefas agendadas para backdoors e introduziram uma ferramenta legítima de gerenciamento de roteador chamada “winbox64.exe” para mascarar atividades maliciosas.
Essa operação se enquadra em um padrão mais amplo de crimes eletrônicos de origem russa, em que os agentes de ameaças usam pegadas mínimas e dependem fortemente de ferramentas legítimas do sistema, em vez de malware óbvio. O objetivo parece ser o acesso persistente e o roubo de dados, em vez de interrupção imediata. Os pesquisadores descrevem como os invasores podem aproveitar o conhecimento profundo do ecossistema do Windows para invadir, mover-se lateralmente, roubar credenciais e evitar a detecção por longos períodos.
O relatório observa que um dos principais desafios na resposta a esses ataques é o uso de utilitários nativos em vez de binários de exploração personalizados. Quando as operações são executadas usando ferramentas já presentes no ambiente, elas podem ignorar muitas soluções tradicionais de segurança de endpoint que se concentram na detecção de ameaças externas ou malware conhecido.
Embora a análise não tenha identificado um ator criminoso específico ou grupo de ameaça com certeza, as evidências sugerem que uma organização sediada na Rússia, ou pelo menos uma operando nessa região, provavelmente está por trás da campanha. Especialistas alertam que, à medida que a pressão da aplicação da lei e da inteligência cresce, esses agentes de ameaças estão cada vez mais operando como empresas, usando ferramentas de uso duplo e adotando pegadas mínimas para permanecer abaixo dos limites de detecção.
Para organizações que operam na Ucrânia e além, o incidente ressalta a importância de monitorar o uso de ferramentas nativas, revisar tarefas agendadas e auditar protocolos de acesso remoto. As equipes de defesa devem presumir que os invasores já podem estar dentro de suas redes, usando ferramentas de sistema legítimas para coletar dados e se mover silenciosamente. A execução imediata de gerenciamento de vulnerabilidades, monitoramento comportamental e registro aprimorado é essencial para prevenir ou detectar essas campanhas de baixo perfil.
Essas descobertas surgem à medida que o cenário de ameaças cibernéticas evolui, com crescente sobreposição entre as operações do estado-nação e o crime organizado. Embora essa campanha em particular pareça focada no roubo e não na sabotagem imediata, as mesmas táticas podem ser aplicadas a infraestruturas críticas, cadeias de suprimentos ou setores onde o acesso persistente é altamente valorizado.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.