Os ataques dirigidos a funcionários da Embaixada de pelo menos sete países (Itália, Quênia, Bermuda, Nepal, Guiana, Líbano e Libéria), indivíduos atingidos pelos hackers, estavam vinculados a funções relacionadas a receita do governo e ao setor financeiro. Este aspecto sugere uma possível motivação financeira para a campanha.
A natureza dos alvos e a natureza de múltiplos estágios dos ataques sugerem o envolvimento de um atacante do estado-nação.
Segundo os especialistas, o código malicioso e os documentos fraudulentos foram desenvolvidos por um indivíduo que se conecta online ao manipulador EvaPiks.
“Embora em tais campanhas geralmente não esteja claro quem está por trás do ataque, nesse caso, conseguimos localizar um usuário que parece estar por trás da atividade mencionada anteriormente, ativo em vários fóruns on-line, ou pelo menos o criador das ferramentas usadas em o ataque. ”lê a análise publicada pela CheckPoint.
“Seguindo a trilha das campanhas anteriores fomos capazes de encontrar um` CyberForum [.] Usuário ru` que atende pelo nome de ‘EvaPiks’ I n várias instâncias, o usuário poderia sugerir, ou ser aconselhados por outros usuários de usar, algumas das técnicas que testemunhamos ao longo das campanhas. ”
EvaPiks é suspeito de ser o desenvolvedor de toda a cadeia de infecção.
A cadeia de ataque começa com mensagens de spear-phishing usando um documento XLSM com macros maliciosas e tendo como assunto “Programa de Financiamento Militar”.
O documento fraudulento é bem elaborado, mostra um logotipo do Departamento de Estado dos EUA e é considerado secreto.
“Embora os invasores tenham trabalhado duro para fazer o documento parecer convincente, eles parecem ter negligenciado alguns artefatos cirílicos (como o nome da pasta de trabalho) que foram deixados no documento e poderiam potencialmente revelar mais informações sobre a origem desse ataque.” continua a análise.
As macros extraem os seguintes arquivos das células codificadas no documento XLSM:
- um legítimo programa AutoHotkey (AHK);
- uma versão mal-intencionada do AHK que se conecta a um servidor C2 para buscar e executar uma versão Trojanizada do TeamViewer que estabelece um backdoor no sistema infectado.
O TeamViewer malicioso também pode incluir outros recursos, como ocultar a interface do TeamViewer, salvar as credenciais atuais da sessão do TeamViewer em um arquivo de texto, permitindo a transferência e a execução de arquivos EXE ou DLL adicionais.
Especialistas apontaram que a EvaPiks esteve envolvida em campanhas anteriores em que atacantes usaram armado versões do TeamViewer.
Uma das variantes analisadas pela Check Point implementada tinha a capacidade de enviar algumas informações básicas do sistema de volta ao atacante e excluir-se do sistema infectado. Uma segunda variante observada em 2018 usou um novo sistema de comando e teve como alvo uma longa lista de bancos, troca de criptomoedas e sites de comércio eletrônico.
A terceira e atual variante implementa um recurso de execução de DLL e usa scripts externos AutoHotKey para reunir informações e credenciais de sessão.
“Por um lado, a partir das descobertas que descrevemos, este parece ser um ataque bem pensado que seleciona cuidadosamente um punhado de vítimas e usa um conteúdo de isco adaptado para atender aos interesses de seu público-alvo.
Por outro lado, alguns aspectos desse ataque foram realizados com menos cautela, e expuseram detalhes que geralmente são bem disfarçados em campanhas semelhantes, como as informações pessoais e o histórico on-line do criminoso, bem como a divulgação de seus códigos maliciosos. atividade. ”conclui a CheckPoint.
"No entanto, o histórico de atividades do desenvolvedor por trás do ataque em fóruns de cardagem subterrâneos e as características da vítima podem implicar que o atacante está financeiramente motivado."
