Hackers de Gamaredon liberam o backdoor de Pteredo e atacam redes ucranianas

Vários grupos russos de ameaças persistentes avançadas (APT) têm se envolvido em ataques contra alvos ucranianos nos últimos meses. Além dos hackers do grupo Fancy Bear, parece que outra organização tem mostrado atividade – o grupo de hackers Gamaredon, também conhecido como Shuckworm. Suas últimas campanhas visam exclusivamente usuários ucranianos, e os hackers estão empregando um malware chamado Pteredo Backdoor.

As atividades dos hackers Gamaredon são seguidas desde 2014, e esta certamente não é a primeira vez que eles armaram seu arsenal contra alvos ucranianos. Em campanhas anteriores, seus implantes foram usados em ataques de espionagem cibernética, que visam várias entidades governamentais e indústrias na Ucrânia.

O Pteredo Backdoor, também chamado de Pteranodon, está recebendo atualizações regulares. Pelo menos quatro versões separadas foram identificadas por pesquisadores de segurança cibernética. Embora a funcionalidade de todas as amostras fosse idêntica, elas pareciam depender de diferentes servidores de comando e controle para receber comandos e para exfiltrar dados. O Pteredo Backdoor também foi visto abusando de scripts PowerShell e VBS pré-fabricados para aprimorar ainda mais sua funcionalidade.

Os usuários podem ficar protegidos de todas as variantes do Pteredo Backdoor empregando medidas e políticas de segurança atualizadas. Além disso, eles devem ter mais cuidado com o conteúdo on-line com o qual interagem, minimizando assim suas chances de baixar arquivos potencialmente prejudiciais em seu computador.