XDSpy Ataca Empresas na Rússia e Moldávia com Novo Malware
Empresas na Rússia e Moldávia estão sendo alvo de uma campanha de phishing conduzida pelo grupo de espionagem cibernética XDSpy. As descobertas vêm da empresa de cibersegurança F.A.C.C.T., que revelou que as cadeias de infecção levam à implantação do malware DSDownloader. Essa atividade foi observada neste mês.
XDSpy, um grupo de ameaças de origem incerta, foi inicialmente descoberto pelo CERT.BY da Bielorrússia em fevereiro de 2020. Análises subsequentes da ESET associaram o grupo a ataques de roubo de informações direcionados a agências governamentais na Europa Oriental e nos Balcãs desde 2011.
Spear-phishing
Os ataques utilizam e-mails de spear-phishing para infiltrar os alvos com um módulo principal de malware chamado XDDown, que, por sua vez, instala plugins adicionais para coletar informações do sistema, monitorar drives externos e reunir senhas.
Nos últimos 12 meses, XDSpy tem direcionado organizações russas com um dropper baseado em C# chamado UTask. Esse dropper é responsável por baixar um módulo principal na forma de um executável que pode buscar mais cargas úteis de um servidor de comando e controle (C2).
Os ataques recentes envolvem e-mails de phishing com iscas relacionadas a acordos, propagando um arquivo RAR que contém um executável legítimo e um arquivo DLL malicioso. O DLL é executado pelo executável legítimo usando técnicas de carregamento lateral de DLL.
Na fase seguinte, a biblioteca busca e executa o DSDownloader, que abre um arquivo de distração enquanto baixa o próximo malware de um servidor remoto. F.A.C.C.T. informou que a carga útil já não estava disponível para download no momento da análise.
Na origem da guerra
Desde o início da guerra Russo-Ucraniana, em fevereiro de 2022, os ataques cibernéticos aumentaram significativamente de ambos os lados. Grupos como DarkWatchman RAT e clusters de atividade como Core Werewolf e Hellhounds comprometeram empresas russas. Além disso, grupos hacktivistas pró-Ucrânia, como Cyber.Anarchy.Squad, também atacaram entidades russas.
A equipe CERT-UA da Ucrânia alertou sobre um aumento em ataques de phishing realizados por um ator de ameaça bielorrusso chamado UAC-0057, que distribui a família de malware PicassoLoader. Esse malware visa implantar um Cobalt Strike Beacon em hosts infectados.
Em conclusão
Por fim, os ataques incluem uma nova campanha do grupo Turla, vinculado à Rússia. Esse grupo usa um atalho malicioso do Windows (LNK) para instalar um backdoor sem arquivos. Ou seja, p backdoor executa scripts PowerShell recebidos de um servidor legítimo comprometido e desativa recursos de segurança.