Campanha EastWind tem como alvo o governo russo e organizações de TI via CloudSorcerer

A Backdoor in a Ruby Password Checking Library

Em uma nova onda de ataques cibernéticos, entidades governamentais russas e organizações de TI estão sendo alvos de uma sofisticada campanha de spear-phishing conhecida como EastWind. Esta campanha entrega uma série de backdoors e trojans, explorando sistemas Windows por meio de um arquivo de atalho malicioso do Windows (LNK) oculto em anexos de arquivo RAR. Quando usuários desavisados abrem esses arquivos, eles acionam uma sequência de infecção complexa que, em última análise, leva à implantação de várias variantes perigosas de malware, incluindo GrewApacha, uma versão atualizada do backdoor CloudSorcerer e um implante recém-identificado chamado PlugY.

O Processo de Infecção

A campanha EastWind começa com um arquivo LNK aparentemente inofensivo. No entanto, esse arquivo é tudo menos benigno. Ele aproveita técnicas de side-loading de DLL para executar um arquivo DLL malicioso, usando o Dropbox como um canal de comunicação. Uma vez que a infecção está ativa, ele realiza reconhecimento e baixa payloads adicionais.

Entre os malwares implantados está o GrewApacha , um backdoor anteriormente associado ao grupo APT31 vinculado à China. Este malware utiliza um perfil comprometido do GitHub para armazenar uma string codificada em Base64, que serve como servidor de comando e controle (C2).

Outro componente-chave desse ataque é o CloudSorcerer , uma ferramenta de espionagem cibernética altamente avançada. Esse backdoor facilita o monitoramento secreto, a coleta de dados e a exfiltração, aproveitando serviços de nuvem populares como Microsoft Graph, Yandex Cloud e Dropbox. Ele emprega um mecanismo de proteção baseado em criptografia, garantindo que o malware seja ativado apenas na máquina da vítima pretendida, gerando uma chave exclusiva derivada da função GetTickCount() do Windows.

O último pedaço de malware observado nesta campanha é o PlugY , um backdoor com todos os recursos, capaz de executar comandos de shell, monitorar a tela da vítima, registrar pressionamentos de tecla e capturar conteúdo da área de transferência. O PlugY se conecta a um servidor de gerenciamento usando TCP, UDP ou pipes nomeados e exibe similaridades com um backdoor conhecido chamado DRBControl, atribuído a atores de ameaças China-nexus como APT27 e APT41.

Mitigação e Remoção

Dada a sofisticação da campanha EastWind, mitigar e remover essas ameaças requer uma abordagem multifacetada:

  1. Evite abrir arquivos suspeitos: Não abra anexos inesperados ou suspeitos, especialmente se eles vierem na forma de arquivos RAR ou LNK. Se você receber um arquivo desse tipo, verifique sua legitimidade com o remetente antes de prosseguir.
  2. Use Advanced Antivirus Solutions: Empregue uma solução antivírus atualizada capaz de detectar e remover ameaças avançadas como GrewApacha, CloudSorcerer e PlugY. Execute uma verificação completa do sistema e remova quaisquer ameaças detectadas.
  3. Atualizar e aplicar patches em sistemas: garanta que seu sistema operacional, software e ferramentas de segurança estejam atualizados com os patches mais recentes. Isso ajuda a fechar vulnerabilidades que malwares como EastWind podem explorar.
  4. Monitore o tráfego de rede: monitore regularmente o tráfego de rede para atividades incomuns, especialmente conexões com servidores C2 desconhecidos ou serviços de nuvem como Dropbox, Microsoft Graph e Yandex Cloud. Tráfego suspeito deve ser investigado e bloqueado.
  5. Isole os sistemas infectados: se uma infecção for detectada, isole imediatamente o sistema afetado da rede para evitar uma disseminação maior. Conduza uma investigação completa para identificar e remover todos os vestígios do malware.
  6. Fortaleça a segurança de e-mail: implemente medidas robustas de segurança de e-mail, incluindo filtros de spam, protocolos de autenticação de e-mail e treinamento de funcionários para reconhecer tentativas de phishing.

A campanha EastWind é um lembrete claro das táticas em evolução usadas por criminosos cibernéticos para violar defesas e roubar informações confidenciais. Ao permanecerem vigilantes e empregarem uma estratégia de segurança abrangente, as organizações podem se proteger dessa e de outras ameaças avançadas. Garanta que seus sistemas estejam fortalecidos contra esses backdoors e trojans e tome medidas proativas para detectar e remover quaisquer sinais de infecção.

Por Zane
August 14, 2024
Browser Hijacker
Portuguese
August 14, 2024
Browser Hijacker

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.