O Computer Emergency Response Team da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos direcionados às forças de defesa do país com um malware chamado SPECTR, como parte de uma campanha de espionagem chamada SickSync.
A agência atribuiu os ataques a um ator de ameaças rastreado sob o codinome UAC-0020, também conhecido como Vermin, e avaliado como associado às agências de segurança da República Popular de Luhansk (LPR). LPR foi declarada um estado soberano pela Rússia dias antes de sua invasão militar à Ucrânia em fevereiro de 2022.
As cadeias de ataque começam com e-mails de spear-phishing contendo um arquivo RAR auto-extraível contendo um arquivo PDF falso, uma versão trojanizada do aplicativo SyncThing que incorpora a carga do SPECTR e um script em lote que ativa a infecção ao lançar o executável.
O SPECTR funciona como um ladrão de informações, capturando capturas de tela a cada 10 segundos, coletando arquivos, reunindo dados de unidades USB removíveis e roubando credenciais de navegadores da web e aplicativos como Element, Signal, Skype e Telegram.
“Ao mesmo tempo, para transferir documentos roubados, arquivos, senhas e outras informações do computador, foi utilizada a funcionalidade padrão de sincronização do software legítimo SyncThing, que, entre outras coisas, suporta o estabelecimento de uma conexão peer-to-peer entre computadores”, disse a CERT-UA.
SickSync marca o retorno do grupo Vermin após uma ausência prolongada, que foi anteriormente observado orquestrando campanhas de phishing visando órgãos estatais da Ucrânia para implantar o malware SPECTR em março de 2022. O Vermin é conhecido por ser utilizado pelo ator desde 2019.
O Vermin também é o nome designado a um trojan de acesso remoto .NET que tem sido usado para atacar várias instituições governamentais ucranianas há quase oito anos. Foi relatado pela primeira vez pela Palo Alto Networks Unit 42 em janeiro de 2018, com uma análise subsequente da ESET que rastreava a atividade do atacante até outubro de 2015.
A divulgação vem após a CERT-UA alertar sobre ataques de engenharia social que utilizam o aplicativo de mensagens instantâneas Signal como vetor de distribuição para fornecer um trojan de acesso remoto chamado DarkCrystal RAT (também conhecido como DCRat). Eles foram vinculados a um cluster de atividades chamado UAC-0200.
“Novamente, observamos uma tendência de aumento na intensidade de ciberataques usando mensageiros e contas comprometidas legítimas”, disse a agência. “Ao mesmo tempo, de uma forma ou de outra, a vítima é encorajada a abrir o arquivo no computador.”
Também segue a descoberta de uma campanha de malware conduzida por hackers patrocinados pelo estado bielorrusso conhecidos como GhostWriter (também conhecidos como UAC-0057 e UNC1151) que empregam documentos do Microsoft Excel armadilhados em ataques direcionados ao Ministério da Defesa da Ucrânia.
“Após a execução do documento Excel, que contém um Macro VBA incorporado, ele deixa cair um arquivo LNK e um carregador de DLL”, disse a Symantec, de propriedade da Broadcom. “Posteriormente, a execução do arquivo LNK inicia o carregador de DLL, potencialmente levando a uma carga útil final suspeita incluindo Agent Tesla, beacons do Cobalt Strike e njRAT.”