A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos direcionados às forças de defesa do país com um malware chamado SPECTR como parte de uma campanha de espionagem chamada SickSync.
A agência atribuiu os ataques a um agente de ameaça que rastreia sob o apelido de UAC-0020, também chamado de Vermin e considerado associado às agências de segurança da República Widespread de Luhansk (LPR). A LPR foi declarada um estado soberano pela Rússia dias antes da invasão militar da Ucrânia em fevereiro de 2022.
As cadeias de ataques começam com e-mails de spear-phishing contendo um arquivo RAR autoextraível contendo um arquivo PDF isca, uma versão trojanizada do aplicativo SyncThing que incorpora a carga SPECTR e um script em lote que ativa a infecção iniciando o executável.
SPECTR atua como um ladrão de informações, capturando capturas de tela a cada 10 segundos, coletando arquivos, coletando dados de unidades USB removíveis e roubando credenciais de navegadores da net e aplicativos como Ingredient, Sign, Skype e Telegram.
“Ao mesmo tempo, para fazer add de documentos, arquivos, senhas e outras informações roubadas do computador, foi utilizada a funcionalidade de sincronização padrão do software program legítimo SyncThing, que, entre outras coisas, suporta o estabelecimento de uma conexão ponto a ponto entre computadores”, afirmou o CERT-UA.
SickSync marca o retorno do grupo Vermin após uma ausência prolongada, que foi anteriormente observada orquestrando campanhas de phishing dirigidas a órgãos estatais da Ucrânia para implantar o malware SPECTR em março de 2022. Sabe-se que o SPECTR tem sido usado pelo ator desde 2019.
Vermin também é o nome atribuído a um trojan de acesso remoto .NET que tem sido usado para atingir várias instituições governamentais ucranianas há quase oito anos. Foi relatado publicamente pela primeira vez pela Unidade 42 da Palo Alto Networks em janeiro de 2018, com uma análise subsequente da ESET rastreando a atividade do invasor até outubro de 2015.
A divulgação ocorre no momento em que o CERT-UA alerta sobre ataques de engenharia social que utilizam o aplicativo de mensagens instantâneas Sign como um vetor de distribuição para fornecer um trojan de acesso remoto chamado DarkCrystal RAT (também conhecido como DCRat). Eles foram vinculados a um cluster de atividades de codinome UAC-0200.
“Mais uma vez, notamos uma tendência de aumento na intensidade dos ataques cibernéticos usando mensageiros e contas legítimas comprometidas”, afirmou a agência. “Ao mesmo tempo, de uma forma ou de outra, a vítima é incentivada a abrir o arquivo no computador”.
Também segue a descoberta de uma campanha de malware conduzida por hackers patrocinados pelo Estado bielorrusso, conhecidos como GhostWriter (também conhecidos como UAC-0057 e UNC1151), que emprega documentos do Microsoft Excel com armadilhas em ataques dirigidos ao Ministério da Defesa ucraniano.
“Após a execução do documento Excel, que contém uma macro VBA incorporada, ele descarta um arquivo LNK e um arquivo carregador DLL”, disse a Symantec, de propriedade da Broadcom. “Posteriormente, a execução do arquivo LNK inicia o carregador de DLL, potencialmente levando a uma carga útil last suspeita, incluindo Agente Tesla, beacons Cobalt Strike e njRAT.”
