Hackers Shuckworm atacam organizações ucranianas com nova variante do backdoor Pteredo

Shuckworm and the Pteredo backdoor

Especialistas da empresa de segurança cibernética Symantec relataram ataques do grupo cibercriminoso Shuckworm (Armagedom ou Gamaredon) sobre organizações ucranianas que utilizam uma nova versão do Pteredo (Pteranodonte) backdoor personalizado.

O grupo, ligado por especialistas à Rússia, vem realizando operações de ciberespionagem contra organizações governamentais ucranianas desde pelo menos 2014.

Ataques de Verme continuaram inabaláveis ​​desde a invasão russa do país. Embora as ferramentas e táticas do grupo sejam simples e às vezes rudimentares, a frequência e a persistência dos seus ataques significam que continua a ser uma das principais ameaças cibernéticas que as organizações enfrentam na região. Especialistas da Symantec dizem.

De acordo com os especialistas, o grupo realizou mais de 5 mil ataques cibernéticos em 1.5 mil empresas públicas e privadas do país.

Por falar nisso, conversamos sobre o fato de que grupos de hackers se dividiram: alguns deles apoiam a Rússia, outros Ucrânia.

Pteredo tem suas origens em fóruns de hackers, onde foi adquirido por Verme em 2016. Hackers começaram o desenvolvimento ativo do backdoor, adicionando módulos DLL para roubo de dados, acesso remoto, e análise de penetração.

Além de Pteredo, Verme também usou o UltraVNC ferramenta de acesso remoto e Process Explorer da Microsoft para processar processos DLL em ataques recentes.

Observação: Deixe-me lembrá-lo que mesmo antes da escalada das hostilidades, A Microsoft descobriu o limpador WhisperGate atacando usuários ucranianos.

Se compararmos Verme ataques a organizações ucranianas desde janeiro 2022, podemos concluir que o grupo quase não mudou de tática. Em ataques anteriores, variantes de Pteredo foram baixados para os sistemas atacados usando arquivos VBS escondidos dentro do documento anexado ao e-mail de phishing.

A equipe do Symantec Threat Hunter identificou quatro diferentes Pterodo variantes que foram usadas em ataques recentes. Eles são todos scripts Visual Basic (EBF) conta-gotas com funcionalidade semelhante. Eles despejam o arquivo VBScript, usar tarefas agendadas (shtasks.exe) para persistência, e baixe o código adicional do C&Servidor C. Todos os VBScripts integrados eram muito semelhantes entre si e usavam técnicas de ofuscação semelhantes.Jornalistas da Bleeping Computer disseram

7-Arquivos Zip são descompactados automaticamente, o que minimiza a interação do usuário (os mesmos arquivos foram usados ​​nos ataques de janeiro).

Por exemplo, uma variante de Pteredo é um arquivo auto-extraível modificado contendo VBScripts ofuscados que pode ser descompactado com 7-Zip. Em seguida, ele os adiciona como uma tarefa agendada para garantir a persistência:

Shuckworm e o backdoor Pteredo

O script também se copia para [PERFIL DE USUÁRIO]\arquivo ntusers.ini.

Os dois arquivos recém-criados são VBScripts mais ofuscados.

  • O primeiro é projetado para coletar informações do sistema, como o número de série do C: dirigir, e envia essas informações para um C&Servidor C.
  • O segundo adiciona outra camada de persistência, copiando o arquivo ntusers.ini descartado anteriormente para outro arquivo desktop.ini.

Embora Verme é um grupo altamente profissional, suas ferramentas e táticas de infecção não melhoraram nos últimos meses, tornando mais fácil detectar e simplificar métodos de proteção.

Atualmente, Pteredo ainda está ativamente desenvolvido, o que significa que os hackers podem trabalhar de uma forma mais avançada, versão poderosa e indetectável do backdoor, bem como modificar sua cadeia de ataque.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *