[ad_1]
Um grupo de hackers anteriormente desconhecido e com motivação financeira se disfarça de agência russa em uma campanha de phishing direcionada a entidades em países do Leste Europeu.
Os e-mails de phishing supostamente vêm do Federal Marshals Service do governo russo e são escritos no idioma russo, e os destinatários são provedores de serviços de telecomunicações e empresas industriais na Lituânia, Estônia e Rússia.
O objetivo final dos e-mails maliciosos é soltar uma cópia do malware DarkWatchman nos computadores das vítimas, um JavaScript RAT (Ferramenta de Acesso Remoto) leve e furtivo com um keylogger C#.
DarkWatchman já se envolveu com agentes de ameaças russos antes, visando principalmente organizações de seu próprio país.
Nesta campanha, descoberta pela equipe X-Force da IBM, o grupo de ameaças se identifica como Hive0117 e parece aproveitar a turbulência na região, que atualmente enfrenta uma variedade de atividades cibernéticas maliciosas.
detalhes da campanha
Em muitos dos casos vistos pela X-Force, os e-mails de phishing foram direcionados a proprietários de empresas ou, pelo menos, a funcionários de alto escalão.
O endereço do remetente imita um autêntico do Ministério da Justiça russo, por exemplo, “mail @ r77[.]fssprus[.]ru”, e o corpo do e-mail também traz o emblema real.
O assunto dos e-mails geralmente é algo convincente que convencerá o destinatário a abrir o anexo, que é um arquivo ZIP chamado ‘Исполнительный лист XXXXXXX-22’ ou ‘Счет 63711-21 от 30.12.2021.zip’.
“O conteúdo dos e-mails apresenta texto idêntico em russo detalhando vários artigos relacionados aos processos de execução associados ao Tribunal Distrital de Kuntsevsky de Moscou, confirmados pelo ‘Oficial de Justiça do Departamento Interdistrital de Oficiais de Justiça para a Execução de Decisões das Autoridades Fiscais'”, explica a IBM em seu relatório.
Os arquivos ZIP anexados contêm executáveis que colocam o DarkWatchman na máquina comprometida, juntamente com uma cópia do keylogger criptografado.
Em alguns casos, os agentes de ameaças usaram arquivos de payload que obtiveram dois payloads ofuscados de um recurso online (domtut[.]site | divertido | online), um arquivo JavaScript que é o backdoor e um bloco do PowerShell que executa um keylogger.
A análise da X-Force também revela que a cepa DarkWatchman usada pelo Hive0117 emprega um algoritmo de geração de domínio (DGA) para gerar domínios C2, dificultando o mapeamento e a remoção de sua infraestrutura.
Atividade paralela
Os analistas da IBM acreditam que o Hive0117 não é afiliado a APTs russos ou faz parte de um grupo patrocinado pelo estado que conduz operações de espionagem cibernética e guerra cibernética.
“Embora a lista de alvos de campanhas de phishing atribuídas a Hive0117 tenha associações regionais com a invasão russa da Ucrânia, a atividade é anterior à invasão, indicando que eles são separados de quaisquer associações politicamente carregadas que desencadearam ondas recentes de atividade criminosa”, explica a IBM.
O grupo de ameaças parece ser motivado por ganhos financeiros e provavelmente visa entidades com uma grande base de usuários para acessar indiretamente seu grupo de clientes.
O uso do DarkWatchman, um malware sem arquivo, está categorizando o Hive0117 como um ator semi-sofisticado, ainda capaz de causar danos significativos às organizações na Europa Oriental.
[ad_2]
