ATAQUES

Grupo Gamaredon lança ataques cibernéticos contra a Ucrânia usando o Telegram

O cenário de ameaças cibernéticas na Europa Oriental ganhou um novo capítulo com a identificação de uma campanha do grupo de APT (Advanced Persistent Threat) Gamaredon, que passou a utilizar o Telegram como vetor principal para lançar ataques contra entidades ucranianas. Esta movimentação representa uma adaptação tática significativa, aproveitando a popularidade e a confiança depositada na plataforma de mensagens para burlar defesas perimetrais tradicionais e estabelecer comunicação direta com as vítimas. A seguir, detalhamos quem é o grupo, como opera esta nova campanha e quais as implicações para a segurança cibernética global.

Quem é o Grupo Gamaredon?

Também conhecido como Primitive Bear, Shucktongue ou Armageddon, o Gamaredon é um grupo de ameaça persistente avançada atribuído a serviços de inteligência russos. Ativo desde pelo menos 2013, o grupo tem como alvo principal organizações governamentais, militares e de aplicação da lei na Ucrânia. Tradicionalmente, suas operações envolviam campanhas de spear-phishing via e-mail com anexos maliciosos contendo macros VBA. Suas ferramentas características incluem o LitterDrifter, um worm que se propaga via dispositivos USB para roubar documentos, e o GraphSteel, um malware que abusa da API do Microsoft Graph para comunicação com servidores de comando e controle (C2), dificultando a detecção de rede. Confira mais análises sobre ameaças digitais na categoria ATAQUES.

A Nova Campanha Via Telegram

Em janeiro de 2023, analistas de inteligência de ameaças observaram uma mudança no modus operandi do grupo. Em vez de depender exclusivamente de e-mails, os operadores do Gamaredon começaram a criar perfis falsos no Telegram, se passando por recrutadores militares, oficiais de segurança e especialistas em cibersegurança. Estabeleciam contato direto com as vítimas em potencial, construindo um rapport inicial. Uma vez conquistada a confiança, enviavam arquivos maliciosos diretamente pelo chat. O uso do Telegram oferece diversas vantagens táticas: alta taxa de entrega, dificuldade de interceptação por gateways de e-mail e um senso de urgência que é mais difícil de alcançar por outros canais. Esta técnica explora a confiança inerente à comunicação em plataformas de mensageria.

Detalhes Técnicos e Payloads

Os arquivos entregues variavam entre documentos do Microsoft Office com macros maliciosas (DDE ou VBA) e atalhos do Windows (LNK) compactados em arquivos ZIP ou RAR. A execução do payload iniciava uma cadeia de infecção em múltiplos estágios. Primeiro, um script (JavaScript ou VBS) era baixado e executado para fazer o download de componentes adicionais. O malware final frequentemente era uma versão adaptada do LitterDrifter ou do GraphSteel. O LitterDrifter é particularmente perigoso em redes militares, pois se espalha automaticamente para qualquer unidade USB conectada, coletando documentos e tentando se propagar para outras máquinas na rede local. O GraphSteel, por sua vez, realiza roubo de credenciais armazenadas em navegadores e clientes de e-mail, e utiliza a API do Graph para se comunicar com o C2, mimetizando tráfego legítimo do Office 365. A campanha demonstra uma maturidade operacional, utilizando o Telegram não apenas para entrega, mas também para potencial exfiltração de dados e controle de bots através de canais e bots da própria plataforma.

Implicações Estratégicas de Segurança

A adoção do Telegram como vetor de ataque pelo Gamaredon sinaliza uma tendência mais ampla no ecossistema de APTs: a migração para plataformas de colaboração e mensageria. Para as equipes de defesa, isso representa um desafio significativo. Ferramentas de segurança tradicionais focadas em e-mail e web gateways podem não ter visibilidade sobre ameaças que se originam no Telegram. A criptografia de ponta a ponta e o ecossistema aberto de bots dificultam ainda mais o monitoramento. A principal implicação é a necessidade de ampliar a superfície de monitoramento para incluir atividades suspeitas em endpoints e o comportamento anômalo de processos, como a execução de scripts não assinados ou conexões incomuns com APIs de serviços de nuvem e mensageria. Boas práticas de segurança são discutidas na categoria DEFESA.

Recomendações de Defesa

Diante desta evolução das táticas do Gamaredon, organizações que operam em contextos de alto risco, como governo e infraestrutura crítica, devem considerar as seguintes medidas:
Conscientização: Treinar usuários para desconfiar de contatos não solicitados em plataformas de mensageria, mesmo que aparentem ser de fontes conhecidas.
Segurança de Endpoints (EDR): Implementar soluções que possam detectar e bloquear a execução de macros maliciosas, scripts (PowerShell, VBS, JS) e comportamentos de worm, como o LitterDrifter.
Políticas de Aplicação: Restringir a execução de macros do Office a documentos assinados digitalmente e bloquear a execução de scripts a partir de pastas de download.
Monitoramento de Rede: Configurar regras para detectar comunicações suspeitas com APIs do Telegram, Microsoft Graph e outros serviços que não sejam utilizados oficialmente pela organização.
Segmentação de Rede: Limitar a propagação de worms através de microssegmentação e controles de acesso a unidades USB. Profissionais de segurança podem encontrar mais ferramentas e discussões na categoria BLUE TEAM.

Perguntas Frequentes (FAQ)

O que é o grupo Gamaredon?

É um APT (Advanced Persistent Threat) ligado à Rússia, focado principalmente em espionagem cibernética contra a Ucrânia. São conhecidos por seu uso de malwares como LitterDrifter e GraphSteel, visando entidades governamentais e militares.

Como o Telegram é utilizado como vetor de ataque?

Os atacantes criam perfis falsos no Telegram se passando por autoridades ou recrutadores. Após estabelecer uma conversa e ganhar a confiança da vítima, enviam arquivos maliciosos (como documentos com macros ou LNKs) que infectam o sistema ao serem abertos.

Quais são os principais alvos desta campanha?

Os alvos continuam sendo predominantemente entidades governamentais, militares e de segurança ucranianas, visando o roubo de informações sensíveis e inteligência estratégica.

Quais malwares estão sendo usados?

Os principais malwares identificados são o LitterDrifter (um worm USB para roubo de documentos) e o GraphSteel (um info stealer que utiliza a API do Graph da Microsoft para suas operações).

Como as empresas podem se proteger contra esses ataques?

As principais defesas incluem treinamento de conscientização de usuários, soluções de segurança de endpoints (EDR) robustas, políticas rigorosas de execução de scripts e monitoramento constante de atividades anômalas de rede e de chamadas de API.