Ataque cibernético pelo grupo APT28 usando programa malicioso CredoMap_v2 (CERT-UA#4622)
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
APT28 realizou uma operação de phishing que entregou um arquivo RAR protegido por senha chamado UkrScanner.rar. Dentro do arquivo havia um executável autoextraível (SFX) que instalava o CredoMap_v2. O malware rouba e exfiltra credenciais via HTTP POST para infraestrutura controlada por atacantes hospedada na plataforma Pipedream. O incidente foi divulgado pelo CERT-UA (o CERT nacional da Ucrânia).
Investigação
O CERT-UA recebeu uma mensagem suspeita se passando por sua própria organização e carregando o anexo RAR protegido por senha. O exame da carga útil SFX revelou o binário CredoMap_v2 e sua rotina de exfiltração de credenciais baseada em HTTP. Os analistas rastrearam o tráfego de saída para eo2mxtqmeqzafqi.m.pipedream.net e 69.16.243.33. Com base nas ferramentas e infraestrutura, a atividade foi atribuída ao conhecido grupo de ameaça APT28.
Mitigação
O CERT-UA bloqueou o domínio malicioso Pipedream e o endereço IP associado. Os usuários foram aconselhados a tratar arquivos protegidos por senha como de alto risco e a validar a identidade do remetente por meio de canais confiáveis. Evite a execução de executáveis desconhecidos utilizando controles de sistema operacional e políticas de segurança em endpoints.
Resposta
Treine os usuários para identificar phishing e confirmar remetentes, especialmente quando os anexos são protegidos por senha. Fortaleça o filtro de e-mails para arquivos e executáveis suspeitos e bloqueie infraestrutura hostil conhecida. Monitore o tráfego HTTP de saída para solicitações POST inesperadas a domínios não confiáveis e investigue qualquer correspondência imediatamente.
Fluxo de Ataque
Detecções
Acesso Inicial Suspeito do APT28 pela Detecção de Arquivos Associados (via file_event)
Visualizar
Uso Suspeito da Biblioteca SQLite.Interop (via image_load)
Visualizar
IOCs (HashSha256) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (HashMd5) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (HashSha1) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (SourceIP) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (Emails) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
IOCs (DestinationIP) para detectar: Ciberataque pelo grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA#4622)
Visualizar
Solicitações HTTP POST Suspeitas para a Plataforma Pipedream [Conexão de Rede Windows]
Visualizar
Execução de Malware CredoMap_v2 a partir de Arquivos SFX [Criação de Processo Windows]
Visualizar
Execução de Simulação
Pré-requisito: A Verificação Prévia de Telemetria e Linha de Base deve ter sido aprovada.
Razão: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa de Ataque & Comandos:
Um operador APT28 recebe um e-mail de phishing contendo um arquivo RAR protegido por senha. Dentro, há um executável autoextraível (SFX) chamadoUkrScanner.exe. Após extrair o arquivo na máquina da vítima, o operador executa o stub SFX, que deixa e executa o malware CredoMap_v2. A execução deUkrScanner.execria um evento de criação de processo que corresponde à regra de detecção.Passos de Simulação (realizados no host de teste):
- Crie um executável fictício chamado
UkrScanner.exe(cópia dopowershell.exepara segurança). - Inicie o executável fictício para imitar a execução do arquivo SFX pelo atacante.
- Crie um executável fictício chamado
-
Script de Teste de Regressão:
# ============================== # Simulação da execução do CredoMap_v2 a partir do SFX (UkrScanner.exe) # ============================== $tempPath = "$env:TEMPUkrScanner.exe" # 1. Preparar uma carga útil inofensiva substituta (cópia do powershell.exe) Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force # 2. Garantir que o arquivo seja executável Unblock-File -Path $tempPath # 3. Executar o stub SFX fictício (simula o atacante executando o arquivo) Write-Host "Lançando executável SFX fictício..." Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru # 4. Pausar para permitir ingestão pelo SIEM Start-Sleep -Seconds 5 Write-Host "Simulação concluída. Verifique o SIEM para uma detecção de criação de processo terminando com 'UkrScanner.exe'." -
Comandos de Limpeza:
# Pare qualquer processo powershell restante iniciado pelo executável fictício (se houver) Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force # Remova o executável fictício $tempPath = "$env:TEMPUkrScanner.exe" if (Test-Path $tempPath) { Remove-Item -Path $tempPath -Force Write-Host "Limpeza completa: $tempPath removido" }