Novas Famílias de Malware BEATDROP e BOOMMIC Usadas pelo APT29: Campanhas de Phishing com Técnicas de HTML Smuggling, Acesso de Longo Prazo para Fins de Espionagem

[post-views]
Maio 03, 2022 · 4 min de leitura
Novas Famílias de Malware BEATDROP e BOOMMIC Usadas pelo APT29: Campanhas de Phishing com Técnicas de HTML Smuggling, Acesso de Longo Prazo para Fins de Espionagem

APT29 é um grupo de espionagem patrocinado pelo estado russo, também referido por especialistas em cibersegurança como Nobelium APT. A amplitude de seus ataques corresponde aos objetivos geopolíticos atuais da Rússia. Seus ataques mais recentes são caracterizados pela utilização dos carregadores BEATDROP e BEACON para implantar o malware BOOMMIC (VaporRage).

Analistas de segurança relatam que as campanhas de phishing mais recentes foram elaboradas para atacar diplomatas e diferentes agências governamentais com o objetivo de manter o acesso dentro de um ambiente para fins de espionagem.

Detectar Atividade do APT29: Novo Malware BEATDROP e BOOMMIC

As regras abaixo detectam a presença maliciosa do APT29 pelos seguintes indicadores: o movimento lateral dos atores da ameaça movimento lateral pela implantação através de uma tarefa agendada chamada SharedRealitySvcDLC; SMB BEACON para múltiplos sistemas para facilitar a preparação do BEACON em sistemas remotos; detecção da carga útil do SMB BEACON via logs pipe_event. As regras desenvolvidas pelos nossos desenvolvedores do Threat Bounty de primeira linha Nattatorn Chuensangarun, Emir Erdogan, Kaan Yeniyol:

Possível Movimento Lateral do Grupo APT29 com Estágio de BEACON SMB (process_creation)

Possível Movimento Lateral do APT29 por Uso de Tarefa Agendada BEACON (via cmdline)

Movimento Lateral Suspeito do APT29 por Uso de Beacon SMB (via pipe_event)

Persistência Suspeita do SMB Beacon (APT29) (Abril 2022) Criando Tarefa Agendada (via segurança)

Campanhas de Phishing do APT 29 baixam malwares BEATDROP e BOOMMIC (via process_creation)

Pressione Ver Todos botão para verificar a lista completa de detecções associadas ao APT29, disponível no repositório do Threat Detection Marketplace da plataforma da SOC Prime.

Ansioso para se conectar com os líderes da indústria e desenvolver seu próprio conteúdo? Junte-se à iniciativa colaborativa da SOC Prime como um colaborador de conteúdo e compartilhe suas próprias regras Sigma e YARA com a comunidade global de cibersegurança enquanto fortalece a defesa cibernética colaborativa em todo o mundo.

Ver Detecções Juntar-se ao Threat Bounty

Detalhes da Campanha de Phishing do APT29

A primeira noção sobre essa campanha de phishing multifacetada apareceu no início de 2022. Pesquisadores da Mandiant descobriram que o APT29 estava enviando e-mails de spear-phishing, imitando avisos administrativos de embaixadas, utilizando endereços de e-mail legítimos, mas hackeados, pertencentes originalmente a entidades diplomáticas. É provável que o uso de serviços de nuvem legais como o Trello da Atlassian para comando e controle seja uma tentativa de tornar a identificação e mitigação mais difíceis para as vítimas.

Nesta campanha de phishing, os atacantes usaram o HTML smuggling, que é um método de phishing que utiliza HTML5 e JavaScript para criptografar strings em um anexo ou página HTML para ocultar cargas maliciosas. Quando um usuário abre um anexo ou clica em um link, o navegador decodifica essas strings. Os atores do APT29 usaram isso para entregar arquivos IMG e ISO – este é o método testado por eles, que provou sua eficiência nos ataques notórios à cadeia de suprimentos da SolarWinds .

Em seguida, analistas de segurança detectaram a implantação de carregadores BEATDROP escritos em C e BEACON em C++. O BEATDROP conecta-se ao Trello para comunicação C2 e opera na memória após se estabelecer e se injetar em um thread suspenso. De acordo com os dados atuais, agora é substituído por um BEACON em C++ mais eficiente, que os adversários utilizam para realizar varredura de portas, capturar telas, capturar teclas e extração de dados.

BEATDROP e BEACON são utilizados para plantar o BOOMIC, também conhecido como VaporRage, para estabelecer persistência em um sistema comprometido.

Junte-se à plataforma Detection as Code da SOC Prime para obter lucros recorrentes enquanto utiliza os benefícios do poder das melhores práticas de defesa colaborativa. A SOC Prime também lançou uma coleção significativa de regras Sigma gratuitas disponíveis em nossa plataforma Detection as Code, em resposta à invasão da Rússia na Ucrânia e ao aumento do número de ciberataques patrocinados pelo estado vinculados à Rússia. O conteúdo de detecção ajuda os profissionais de defesa cibernética a identificar ataques lançados por APTs de alto perfil vinculados à Rússia, respaldados por uma ampla pesquisa pela equipe da SOC Prime e desenvolvedores do programa Threat Bounty.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias