Malware de backdoor usado contra entidades de defesa ucranianas

Um novo backdoor baseado em .NET, chamado DeliveryCheck (também conhecido como CAPIBAR ou GAMEDAY), foi identificado, visando especificamente o setor de defesa na Ucrânia e na Europa Oriental. Esse backdoor sofisticado tem a capacidade de fornecer cargas subsequentes.

Os ataques foram atribuídos a um ator russo chamado Turla, que atende por vários nomes como Iron Hunter, Secret Blizzard (anteriormente Krypton), Uroburos, Venomous Bear e Waterbug. Turla é conhecido por estar ligado ao Serviço Federal de Segurança da Rússia (FSB). O vetor de ataque envolve a distribuição do DeliveryCheck por e-mail, utilizando documentos contendo macros maliciosas. Uma vez infiltrado, o DeliveryCheck persiste por meio de uma tarefa agendada, que o baixa e o executa na memória. Além disso, ele se comunica com um servidor de comando e controle (C2) para recuperar tarefas, incluindo o lançamento de cargas arbitrárias incorporadas em folhas de estilo XSLT.

Ataque inicial usa implante de Kazuar

Em alguns casos, o acesso inicial é acompanhado pela distribuição de um conhecido implante Turla conhecido como Kazuar. Este implante está bem equipado para roubar arquivos de configuração de aplicativos, logs de eventos e vários dados de navegadores da web. O principal objetivo desses ataques é exfiltrar mensagens do aplicativo de mensagens Signal no Windows, permitindo que os adversários acessem conversas, documentos e imagens confidenciais nos sistemas de destino.

Um aspecto significativo do DeliveryCheck é sua capacidade de comprometer servidores Microsoft Exchange instalando um componente do lado do servidor usando o PowerShell Desired State Configuration (DSC), uma plataforma que facilita a configuração automatizada de sistemas Windows. Isso permite que o DSC gere um arquivo MOF (Managed Object Format) contendo um script do PowerShell que carrega a carga .NET incorporada na memória, transformando efetivamente um servidor legítimo em um centro C2 malicioso.

Ucrânia derruba fazenda de bots de propaganda

Paralelamente, a Polícia Cibernética da Ucrânia desmantelou com sucesso uma fazenda de bots em grande escala, envolvendo mais de 100 indivíduos envolvidos na divulgação de propaganda hostil que justificava a invasão russa. O grupo também estava envolvido no vazamento de informações pessoais pertencentes a cidadãos ucranianos e na execução de vários esquemas de fraude. No âmbito desta operação foram realizadas buscas em 21 locais, resultando na apreensão de equipamentos informáticos, telemóveis, mais de 250 gateways GSM e cerca de 150.000 cartões SIM pertencentes a diferentes operadores móveis.