Grupo Gamaredon lança ataques cibernéticos contra a Ucrânia usando o Telegram

Grupo Gamaredon lança ataques cibernéticos contra a Ucrânia usando o Telegram

Grupo Gamaredon lança ataques cibernéticos

O grupo de espionagem cibernética patrocinado pelo Estado russo conhecido como Gamaredon continuou seu ataque digital contra a Ucrânia, com ataques recentes alavancando o popular aplicativo de mensagens Telegram para atacar setores militares e de aplicação da lei no país.
Compartilhe

“A infraestrutura de rede do grupo Gamaredon depende de contas Telegram de vários estágios para criação de perfis de vítimas e confirmação de localização geográfica e, finalmente, leva a vítima ao servidor de próximo estágio para a carga final”, disse o BlackBerry Research and Intelligence Team. “Esse tipo de técnica para infectar sistemas de destino é novo.”

Gamaredon, também conhecido por nomes como Actinium, Armageddon, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa e Winterflounder, é conhecido por seus ataques contra entidades ucranianas desde pelo menos 2013.

No mês passado, a Unidade 42 da Palo Alto Networks divulgou as tentativas malsucedidas do agente da ameaça de invadir uma empresa de refino de petróleo não identificada dentro de um estado membro da OTAN em meio à guerra russo-ucraniana.

VEJA TAMBÉM: Mercado darknet ilegal do Solaris sequestrado pelo concorrente Kraken

As cadeias de ataque montadas pelo agente da ameaça empregaram documentos legítimos do Microsoft Office originários de organizações do governo ucraniano como iscas em e-mails de spear phishing para entregar malware capaz de coletar informações confidenciais.

Esses documentos, quando abertos, carregam um modelo malicioso de uma fonte remota (uma técnica chamada injeção de modelo remoto), contornando efetivamente a necessidade de habilitar macros para violar os sistemas de destino e propagar a infecção.

As últimas descobertas do BlackBerry demonstram uma evolução nas táticas do grupo, em que um canal de Telegram codificado é usado para buscar o endereço IP do servidor que hospeda o malware. Os endereços IP são alternados periodicamente para voar sob o radar.

Para esse fim, o modelo remoto é projetado para buscar um script VBA, que descarta um arquivo VBScript que se conecta ao endereço IP especificado no canal Telegram para buscar o próximo estágio – um script PowerShell que, por sua vez, alcança um endereço IP diferente para obter um arquivo PHP.

Este arquivo PHP tem a tarefa de entrar em contato com outro canal do Telegram para recuperar um terceiro endereço IP que contém a carga final, que é um malware de roubo de informações que foi revelado anteriormente pelo Cisco Talos em setembro de 2022.

VEJA TAMBÉM: Jovem Pan sofre ataque hacker no YouTube

Também vale ressaltar que o script VBA fortemente ofuscado só é entregue se o endereço IP do alvo estiver localizado na Ucrânia.

“O grupo de ameaças muda os endereços IP dinamicamente, o que torna ainda mais difícil automatizar a análise por meio de técnicas de sandbox depois que a amostra envelhece”, apontou BlackBerry.

“O fato de os endereços IP suspeitos mudarem apenas durante o horário de trabalho do Leste Europeu sugere fortemente que o agente da ameaça trabalha em um local e, com toda probabilidade, pertence a uma unidade cibernética ofensiva que implanta operações maliciosas contra a Ucrânia”.

O desenvolvimento ocorre quando a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) atribuiu um ataque de malware destrutivo direcionado à Agência Nacional de Notícias da Ucrânia ao grupo de hackers Sandworm , vinculado à Rússia.