Ataque cibernético pelo grupo APT28 usando programa malicioso CredoMap_v2 (CERT-UA#4622)
Seguir
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
APT28 realizou uma operação de phishing que entregou um arquivo RAR protegido por senha chamado UkrScanner.rar. Dentro do arquivo havia um executável autoextraível (SFX) que instalava o CredoMap_v2. O malware rouba e exfiltra credenciais via HTTP POST para infraestrutura controlada por atacantes hospedada na plataforma Pipedream. O incidente foi divulgado pelo CERT-UA (o CERT nacional da Ucrânia).
Investigação
O CERT-UA recebeu uma mensagem suspeita se passando por sua própria organização e carregando o anexo RAR protegido por senha. O exame da carga útil SFX revelou o binário CredoMap_v2 e sua rotina de exfiltração de credenciais baseada em HTTP. Os analistas rastrearam o tráfego de saída para eo2mxtqmeqzafqi.m.pipedream.net e 69.16.243.33. Com base nas ferramentas e infraestrutura, a atividade foi atribuída ao conhecido grupo de ameaça APT28.
Mitigação
O CERT-UA bloqueou o domínio malicioso Pipedream e o endereço IP associado. Os usuários foram aconselhados a tratar arquivos protegidos por senha como de alto risco e a validar a identidade do remetente por meio de canais confiáveis. Evite a execução de executáveis desconhecidos utilizando controles de sistema operacional e políticas de segurança em endpoints.
Resposta
Treine os usuários para identificar phishing e confirmar remetentes, especialmente quando os anexos são protegidos por senha. Fortaleça o filtro de e-mails para arquivos e executáveis suspeitos e bloqueie infraestrutura hostil conhecida. Monitore o tráfego HTTP de saída para solicitações POST inesperadas a domínios não confiáveis e investigue qualquer correspondência imediatamente.
“graph TB %% Class definitions classDef action fill:#99ccff classDef file fill:#ffcc99 classDef malware fill:#ff9999 classDef service fill:#ccccff classDef data fill:#ccffcc %% Nodes email_phishing[“<b>Ação</b> – <b>T1566.001 Phishing</b><br/><b>Nome</b>: Anexo de Spearphishing<br/><b>Detalhe</b>: E-mail se passando por CERT-UA com RAR protegido por senha”] class email_phishing action archive_rar[“<b>Arquivo</b> – <b>Nome</b>: UkrScanner.rar<br/><b>Tipo</b>: Arquivo RAR protegido por senha<br/><b>Técnica</b>: T1027.015 Compressão”] class archive_rar file sfx_payload[“<b>Malware</b> – <b>Nome</b>: CredoMap_v2 (SFX)<br/><b>Técnica</b>: T1027.009 Cargas Embutidas”] class sfx_payload malware execution[“<b>Ação</b> – <b>T1204.002 Execução de Usuário</b><br/><b>Detalhe</b>: Usuário abre RAR, extrai SFX, que é executado”] class execution action credential_capture[“<b>Ação</b> – <b>T1056.003 Captura de Entrada</b><br/><b>Método</b>: Captura de credenciais via portal web”] class credential_capture action web_service[“<b>Serviço</b> – <b>Endpoint</b>: eo2mxtqmeqzafqi.m.pipedream.net<br/><b>Técnica</b>: T1567 Exfiltração por Serviço Web”] class web_service service exfiltrated_data[“<b>Dados</b> – <b>Tipo</b>: Credenciais roubadas<br/><b>Uso Potencial</b>: T1078 Contas Válidas”] class exfiltrated_data data privileged_use[“<b>Ação</b> – <b>T1078 Contas Válidas</b><br/><b>Impacto</b>: Uso de credenciais roubadas para acesso privilegiado”] class privileged_use action %% Connections email_phishing u002du002d>|entrega| archive_rar archive_rar u002du002d>|contém| sfx_payload sfx_payload u002du002d>|executa como parte de| execution execution u002du002d>|captura credenciais via| credential_capture credential_capture u002du002d>|envia dados para| web_service web_service u002du002d>|recebe| exfiltrated_data exfiltrated_data u002du002d>|habilita| privileged_use “
Fluxo de Ataque
Detecções
Acesso Inicial Suspeito do APT28 pela Detecção de Arquivos Associados (via file_event)
Visualizar
Uso Suspeito da Biblioteca SQLite.Interop (via image_load)
Visualizar
IOCs (HashSha256) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (HashMd5) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (HashSha1) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (SourceIP) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (Emails) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (DestinationIP) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
Solicitações HTTP POST Suspeitas para a Plataforma Pipedream [Conexão de Rede Windows]
Visualizar
Execução de Malware CredoMap_v2 a partir de Arquivos SFX [Criação de Processo Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Prévia de Telemetria e Linha de Base deve ter sido aprovada.
Razão: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos:
Um operador APT28 recebe um e-mail de phishing contendo um arquivo RAR protegido por senha. Dentro, há um executável autoextraível (SFX) chamadoUkrScanner.exe. Após extrair o arquivo na máquina da vítima, o operador executa o stub SFX, que deixa e executa o malware CredoMap_v2. A execução deUkrScanner.execria um evento de criação de processo que corresponde à regra de detecção.Passos de Simulação (realizados no host de teste):
- Crie um executável fictício chamado
UkrScanner.exe(cópia dopowershell.exepara segurança). - Inicie o executável fictício para imitar a execução do arquivo SFX pelo atacante.
- Crie um executável fictício chamado
-
Script de Teste de Regressão:
# ============================== # Simulação da execução do CredoMap_v2 a partir do SFX (UkrScanner.exe) # ============================== $tempPath = "$env:TEMPUkrScanner.exe" # 1. Preparar uma carga útil inofensiva substituta (cópia do powershell.exe) Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force # 2. Garantir que o arquivo seja executável Unblock-File -Path $tempPath # 3. Executar o stub SFX fictício (simula o atacante executando o arquivo) Write-Host "Lançando executável SFX fictício..." Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru # 4. Pausar para permitir ingestão pelo SIEM Start-Sleep -Seconds 5 Write-Host "Simulação concluída. Verifique o SIEM para uma detecção de criação de processo terminando com 'UkrScanner.exe'." -
Comandos de Limpeza:
# Pare qualquer processo powershell restante iniciado pelo executável fictício (se houver) Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force # Remova o executável fictício $tempPath = "$env:TEMPUkrScanner.exe" if (Test-Path $tempPath) { Remove-Item -Path $tempPath -Force Write-Host "Limpeza completa: $tempPath removido" }