As agências governamentais e entidades industriais russas são alvo de um grupo de atividades em curso denominado Desperte há.
“Os invasores agora preferem usar o agente para a plataforma legítima MeshCentral em vez do módulo UltraVNC, que eles usaram anteriormente para obter acesso remoto aos sistemas”, disse Kaspersky, detalhando uma nova campanha que começou em junho de 2024 e continuou pelo menos até agosto. .
A empresa russa de segurança cibernética disse que a campanha tinha como alvo principal agências governamentais russas, seus contratantes e empresas industriais.
Awaken Likho, também conhecido como Core Werewolf e PseudoGamaredon, foi documentado pela primeira vez pela BI.ZONE em junho de 2023 em conexão com ataques cibernéticos dirigidos contra setores de defesa e infraestrutura crítica. Acredita-se que o grupo esteja ativo desde pelo menos agosto de 2021.
Os ataques de spear-phishing envolvem a distribuição de executáveis maliciosos disfarçados de documentos Microsoft Phrase ou PDF, atribuindo-lhes extensões duplas como “doc.exe”, “.docx.exe” ou “.pdf.exe”, de modo que apenas os arquivos .docx e Partes .pdf da extensão são exibidas para os usuários.
A abertura desses arquivos, no entanto, desencadeia a instalação do UltraVNC, permitindo assim que os agentes da ameaça obtenham controle complete dos hosts comprometidos.
Outros ataques organizados pelo Core Werewolf também apontaram uma base militar russa na Arménia, bem como um instituto de investigação russo envolvido no desenvolvimento de armas, de acordo com as conclusões da FACCT no início de Maio deste ano.
Uma mudança notável observada nesses casos diz respeito ao uso de um arquivo autoextraível (SFX) para facilitar a instalação secreta do UltraVNC enquanto exibe um documento de isca inócuo para os alvos.
A última cadeia de ataque descoberta pela Kaspersky também depende de um arquivo SFX criado usando 7-Zip que, quando aberto, aciona a execução de um arquivo chamado “MicrosoftStores.exe”, que então descompacta um script AutoIt para finalmente executar o código aberto. Ferramenta de gerenciamento remoto MeshAgent.
“Essas ações permitem que o APT persista no sistema: os invasores criam uma tarefa agendada que executa um arquivo de comando, que, por sua vez, inicia o MeshAgent para estabelecer uma conexão com o servidor MeshCentral”, disse Kaspersky.
