A Mandiant identificou recentemente que, em um ataque direcionado a entidades governamentais ucranianas, arquivos ISO trojanizados foram usados por agentes de ameaças para encobrir programas maliciosos que se faziam passar por legítimos. Windows 10 instaladores para o primeiro passo no comprometimento de suas redes.
Instaladores maliciosos entregam malware que pode realizar uma ampla gama de atividades maliciosas, incluindo:-
- Monitoramento de computadores comprometidos com a finalidade de coletar dados
- A implantação de ferramentas maliciosas adicionais
- Exfiltração de dados para servidores controlados por invasores
Trojanizado Windows 10 Instalador
Uma ISO que fez parte da campanha foi hospedada no rastreador de torrent ucraniano “toloka[.]to” foi criado em maio de 2022 por um usuário que é entregue nesta campanha.
Aqui abaixo mencionamos os principais recursos de segurança do Windows que são desabilitados pelo arquivo ISO, pois ele vem pré-configurado com as seguintes habilidades: –
- Desativar telemetria de segurança
- Bloquear atualizações automáticas
- Desativar verificação de licença
No que diz respeito aos motivos das intrusões, não há qualquer indicação de que tenham sido financeiras. Como não há vestígios de qualquer: –
- O roubo de informações monetizáveis
- A implantação de ransomware
- A implantação de criptomineradores
O A equipe de segurança da Mandiant também descobriu várias tarefas agendadas que foram configuradas em meados de julho de 2022 para receber comandos preparados para execução via PowerShell enquanto analisam vários dispositivos infectados nas redes do governo ucraniano.
Como resultado do reconhecimento inicial, os analistas também descobriram cargas adicionais, tais como: –
Este grupo de atividades de ameaças está sendo monitorado pela Mandiant como UNC4166, que é o número atribuído a ele. No início da guerra, as organizações-alvo do UNC4166 coincidiram com as alvo dos grupos relacionados com o GRU com limpadores destinados a outras organizações na região.
O APT28, um interveniente patrocinado pelo Estado russo, amplamente reconhecido pelos seus ataques disruptivos de limpadores, foi acusado de lançar intrusões contra organizações que foram anteriormente alvo de ataques disruptivos de limpadores e não foram capazes de estabelecer qualquer tipo de ligação com eles.
Além disso, tem havido uma operação do APT28 em nome do serviço de inteligência russo GRU desde pelo menos 2004.
O governo ucraniano e as organizações militares têm sido alvo de múltiplas campanhas de phishing que foram sinalizadas pelo Google, Microsoft e CERT da Ucrânia como operações APT28 desde o início da invasão russa da Ucrânia.
