Adversários Usam PDFs Armados Disfarçados como Iscas da Embaixada Alemã para Espalhar Variante do Malware Duke em Ataques Contra Ministérios das Relações Exteriores de Países Alinhados à OTAN
Índice:
Pesquisadores de cibersegurança observaram uma nova campanha maliciosa direcionada a Ministérios das Relações Exteriores de países relacionados à OTAN. Os adversários distribuem documentos PDF usados como iscas e disfarçam o remetente como a embaixada alemã. Um dos arquivos PDF contém o malware Duke atribuído ao nefasto coletivo de hackers apoiado pela nação russa, rastreado como APT29 também conhecido como NOBELIUM, Cozy Bear, ou The Dukes.
Detectar Ataques Empregando PDFs Armados para Espalhar Variante do Duke Malware via DLL Sideloading
Com o APT29 sendo uma divisão de hackers sigilosa do Serviço de Inteligência Estrangeiro russo (SVR) agindo a favor dos interesses geopolíticos de Moscou, a mais recente campanha maliciosa direcionada a países da OTAN pode ser uma parte de ações ofensivas contra aliados ucranianos.
Cooperando com a CERT-UA e SSSCIP, a pesquisa da SOC Prime desenvolve e testa regras Sigma no campo de batalha real, entregando centenas de novos conteúdos de detecção por mês para ajudar a frustrar ataques destrutivos da Rússia. Para auxiliar defensores cibernéticos na identificação do mais recente ataque cibernético do APT29, a Plataforma SOC Prime oferece uma regra Sigma dedicada para detectar tentativas de carregar dinamicamente a biblioteca MSO nomeada legitimamente a fim de realizar atividades maliciosas.
Possível Tentativa de Carregamento Dinâmico da Biblioteca MSO (via image_load)
A regra é compatível com 20 formatos de tecnologia SIEM, EDR, XDR e Data Lake e mapeada para MITRE ATT&CK®, abordando táticas de Evasão de Defesa e Seqüestro de Fluxo de Execução (T1574) como técnica correspondente.
Para explorar todo o conjunto de algoritmos de detecção que abordam TTPs do APT29, acesse o Explore Detections botão abaixo. Para uma investigação de ameaças simplificada, as equipes também podem aprofundar-se em metadados relevantes, incluindo referências ATT&CK e CTI.
Análise de Ataque usando PDFs Armados com HTML Smuggling e Espalhando Duke Malware
Pesquisadores da EclecticIQ observaram uma operação ofensiva em andamento contra Ministérios das Relações Exteriores de países da OTAN, na qual adversários aproveitam arquivos PDF maliciosos com convites disfarçados de embaixada alemã. Um dos arquivos PDF armados contém a variante do malware Duke anteriormente vinculada ao notório grupo patrocinado pelo estado russo conhecido como APT29. O grupo está por trás de uma série de ataques de ciberespionagem e é apoiado pelo Serviço de Inteligência Estrangeira da Rússia enquanto utiliza um sofisticado conjunto de ferramentas de adversário para realizar suas operações ofensivas.
Na campanha adversária em andamento, atores de ameaças aplicam servidores Zulip para C2, permitindo-lhes misturar-se com tráfego web legítimo e evitar detecção. Com base nos padrões de comportamento dos adversários, arquivos de isca, o malware aplicado e seus meios de entrega, pesquisadores vinculam a campanha maliciosa observada à atividade do APT29.
A cadeia de infecção é desencadeada pela execução dos arquivos de isca PDF maliciosos com código JavaScript incorporado destinado a lançar cargas úteis no formato de arquivo HTML nos dispositivos comprometidos. Usando HTML smudging, os atacantes entregam um arquivo de aplicativo HTML malicioso (HTA) que é considerado um LOLBIN popular. Este último é destinado a lançar a amostra do malware Duke nos sistemas impactados.
O lançamento do arquivo HTA leva à propagação de três arquivos executáveis no diretório específico dentro do sistema comprometido. Um desses arquivos é a variante do malware Duke executada via DLL sideloading. O malware aplica hashing da API do Windows como uma técnica de evasão, permitindo que os adversários contornem scanners de malware estáticos.
Como medidas potenciais de mitigação, os defensores recomendam configurar mecanismos adequados de proteção de rede para bloquear tráfego de rede suspeito, aplicar políticas de lista de permissões em hosts Windows para impedir a execução de LOLBINs específicos que possam ser explorados por atacantes, aumentar a conscientização em cibersegurança e implementar continuamente as melhores práticas de segurança da indústria para impulsionar a resiliência cibernética.
Confie no poder da inteligência aumentada e na experiência coletiva da indústria com Uncoder AI para criar algoritmos de detecção contra ameaças emergentes de forma coerente, convertê-los instantaneamente para 44 formatos de SIEM, EDR, XDR e Data Lake, e compartilhar seu código com colegas da indústria para promover uma defesa ativa informada por ameaças.
