Agências governamentais russas e empresas industriais são alvo de uma coleção contínua chamada Suba lá.
“Os invasores agora preferem usar o agente da plataforma oficial MeshCentral em vez do módulo UltraVNC, que antes usavam para obter acesso remoto aos sistemas”, disse Kaspersky, explicando a nova campanha que começou em junho de 2024 e continuou pelo menos até agosto. .
A empresa russa de segurança cibernética disse que a campanha tinha como alvo agências governamentais russas, seus contratantes e empresas industriais.
Awaken Likho, também conhecido como Core Werewolf e PseudoGamaredon, foi escrito pela primeira vez por BI.ZONE em junho de 2023 sobre ataques cibernéticos direcionados a setores de defesa e infraestrutura crítica. Acredita-se que o grupo esteja ativo pelo menos desde agosto de 2021.
Os ataques de spear phishing envolvem a distribuição de executáveis maliciosos disfarçados de documentos Microsoft Word ou PDF, fornecendo-lhes duas extensões, como “doc.exe”, “.docx.exe” ou “.pdf.exe”, para finalizar a extensão .docx e .pdf peças dos usuários.
A abertura desses arquivos, no entanto, criou uma instalação do UltraVNC, permitindo assim que atores mal-intencionados obtivessem controle total sobre hosts vulneráveis.
Outro ataque do Core Werewolf também revelou uma base militar russa na Arménia e um centro de investigação russo envolvido no desenvolvimento de armas, de acordo com conclusões da FACCT no início de Maio deste ano.
Outra mudança notável observada nesses casos diz respeito ao uso de um arquivo autoextraível (SFX) para facilitar a instalação furtiva do UltraVNC enquanto exibe um documento de isca inócuo para os alvos.
A última cadeia de ataque descoberta pela Kaspersky também depende de um arquivo SFX criado usando 7-Zip que, quando aberto, desencadeia a execução de um arquivo chamado “MicrosoftStores.exe”, que então executa um script AutoIt para eventualmente iniciar o código aberto. Ferramenta de gerenciamento remoto MeshAgent.
“Essas ações permitem que o APT continue no sistema: os invasores executam uma tarefa agendada que executa um arquivo de comando, que por sua vez inicia o MeshAgent para estabelecer uma conexão com o servidor MeshCentral”, disse Kaspersky.
