SOC Prime Bias: Crítico

08 Jan 2026 16:22 UTC

Ataque cibernético pelo grupo APT28 usando programa malicioso CredoMap_v2 (CERT-UA#4622)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Ataque cibernético pelo grupo APT28 usando programa malicioso CredoMap_v2 (CERT-UA#4622)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

APT28 realizou uma operação de phishing que entregou um arquivo RAR protegido por senha chamado UkrScanner.rar. Dentro do arquivo havia um executável autoextraível (SFX) que instalava o CredoMap_v2. O malware rouba e exfiltra credenciais via HTTP POST para infraestrutura controlada por atacantes hospedada na plataforma Pipedream. O incidente foi divulgado pelo CERT-UA (o CERT nacional da Ucrânia).

Investigação

O CERT-UA recebeu uma mensagem suspeita se passando por sua própria organização e carregando o anexo RAR protegido por senha. O exame da carga útil SFX revelou o binário CredoMap_v2 e sua rotina de exfiltração de credenciais baseada em HTTP. Os analistas rastrearam o tráfego de saída para eo2mxtqmeqzafqi.m.pipedream.net e 69.16.243.33. Com base nas ferramentas e infraestrutura, a atividade foi atribuída ao conhecido grupo de ameaça APT28.

Mitigação

O CERT-UA bloqueou o domínio malicioso Pipedream e o endereço IP associado. Os usuários foram aconselhados a tratar arquivos protegidos por senha como de alto risco e a validar a identidade do remetente por meio de canais confiáveis. Evite a execução de executáveis desconhecidos utilizando controles de sistema operacional e políticas de segurança em endpoints.

Resposta

Treine os usuários para identificar phishing e confirmar remetentes, especialmente quando os anexos são protegidos por senha. Fortaleça o filtro de e-mails para arquivos e executáveis suspeitos e bloqueie infraestrutura hostil conhecida. Monitore o tráfego HTTP de saída para solicitações POST inesperadas a domínios não confiáveis e investigue qualquer correspondência imediatamente.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Prévia de Telemetria e Linha de Base deve ter sido aprovada.

Razão: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa de Ataque & Comandos:
    Um operador APT28 recebe um e-mail de phishing contendo um arquivo RAR protegido por senha. Dentro, há um executável autoextraível (SFX) chamado UkrScanner.exe. Após extrair o arquivo na máquina da vítima, o operador executa o stub SFX, que deixa e executa o malware CredoMap_v2. A execução de UkrScanner.exe cria um evento de criação de processo que corresponde à regra de detecção.

    Passos de Simulação (realizados no host de teste):

    1. Crie um executável fictício chamado UkrScanner.exe (cópia do powershell.exe para segurança).
    2. Inicie o executável fictício para imitar a execução do arquivo SFX pelo atacante.
  • Script de Teste de Regressão:

    # ==============================
    # Simulação da execução do CredoMap_v2 a partir do SFX (UkrScanner.exe)
    # ==============================
    $tempPath = "$env:TEMPUkrScanner.exe"
    
    # 1. Preparar uma carga útil inofensiva substituta (cópia do powershell.exe)
    Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force
    
    # 2. Garantir que o arquivo seja executável
    Unblock-File -Path $tempPath
    
    # 3. Executar o stub SFX fictício (simula o atacante executando o arquivo)
    Write-Host "Lançando executável SFX fictício..."
    Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru
    
    # 4. Pausar para permitir ingestão pelo SIEM
    Start-Sleep -Seconds 5
    Write-Host "Simulação concluída. Verifique o SIEM para uma detecção de criação de processo terminando com 'UkrScanner.exe'."
  • Comandos de Limpeza:

    # Pare qualquer processo powershell restante iniciado pelo executável fictício (se houver)
    Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force
    
    # Remova o executável fictício
    $tempPath = "$env:TEMPUkrScanner.exe"
    if (Test-Path $tempPath) {
        Remove-Item -Path $tempPath -Force
        Write-Host "Limpeza completa: $tempPath removido"
    }