Um grupo hacktivista conhecido como Égua Cabeça foi associado a ataques cibernéticos que têm como alvo exclusivo organizações localizadas na Rússia e na Bielorrússia.
“O Head Mare usa métodos mais atualizados para obter acesso inicial”, disse a Kaspersky em uma análise feita na segunda-feira sobre as táticas e ferramentas do grupo.
“Por exemplo, os invasores aproveitaram a vulnerabilidade CVE-2023-38831 relativamente recente no WinRAR, que permite ao invasor executar código arbitrário no sistema por meio de um arquivo especialmente preparado. Essa abordagem permite que o grupo entregue e disfarce a carga maliciosa de forma mais eficaz.”
O Head Mare, ativo desde 2023, é um dos grupos hacktivistas que atacam organizações russas no contexto do conflito russo-ucraniano que começou um ano antes.
Ele também mantém presença no X, onde vazou informações sensíveis e documentação interna de vítimas. Os alvos dos ataques do grupo incluem governos, transporte, energia, manufatura e setores ambientais.
Ao contrário de outras personas hacktivistas que provavelmente operam com o objetivo de infligir “dano máximo” às empresas nos dois países, o Head Mare também criptografa os dispositivos das vítimas usando o LockBit para Home windows e o Babuk para Linux (ESXi) e exige um resgate pela descriptografia dos dados.
Também fazem parte de seu equipment de ferramentas o PhantomDL e o PhantomCore, o primeiro dos quais é um backdoor baseado em Go capaz de entregar cargas úteis adicionais e enviar arquivos de interesse para um servidor de comando e controle (C2).
O PhantomCore (também conhecido como PhantomRAT), antecessor do PhantomDL, é um trojan de acesso remoto com recursos semelhantes, permitindo baixar arquivos do servidor C2, enviar arquivos de um host comprometido para o servidor C2, bem como executar comandos no interpretador de linha de comando cmd.exe.
“Os invasores criam tarefas agendadas e valores de registro chamados MicrosoftUpdateCore e MicrosoftUpdateCoree para disfarçar suas atividades como tarefas relacionadas ao software program da Microsoft”, disse a Kaspersky.
“Também descobrimos que algumas amostras do LockBit usadas pelo grupo tinham os seguintes nomes: OneDrive.exe (e) VLC.exe. Essas amostras estavam localizadas no diretório C:ProgramData, disfarçando-se como aplicativos legítimos do OneDrive e VLC.”
Foi descoberto que ambos os artefatos foram distribuídos por meio de campanhas de phishing na forma de documentos comerciais com extensões duplas (por exemplo, решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe ou тз на разработку.pdf.exe).
Outro componente essential de seu arsenal de ataque é o Sliver, uma estrutura C2 de código aberto e uma coleção de várias ferramentas disponíveis publicamente, como rsockstun, ngrok e Mimikatz, que facilitam a descoberta, a movimentação lateral e a coleta de credenciais.
As intrusões culminam na implantação do LockBit ou do Babuk, dependendo do ambiente de destino, seguido pela emissão de uma nota de resgate que exige um pagamento em troca de um descriptografador para desbloquear os arquivos.
“As táticas, métodos, procedimentos e ferramentas usados pelo grupo Head Mare são geralmente semelhantes aos de outros grupos associados a clusters que têm como alvo organizações na Rússia e na Bielorrússia dentro do contexto do conflito russo-ucraniano”, disse o fornecedor russo de segurança cibernética.
“No entanto, o grupo se distingue por usar malware personalizado, como PhantomDL e PhantomCore, além de explorar uma vulnerabilidade relativamente nova, CVE-2023-38831, para se infiltrar na infraestrutura de suas vítimas em campanhas de phishing.”
