O ator estatal russo Secret Blizzard intensificado os seus esforços de ciberespionagem contra activos militares ucranianos durante 2024. Ligado ao Serviço Federal de Segurança da Rússia (FSB), o grupo utilizou eficazmente infra-estruturas e ferramentas de vários intervenientes cibernéticos. As principais técnicas incluem a implantação de malware personalizado sofisticado, a realização de ataques estratégicos de watering hole e spear phishing.
Secret Blizzard tem como alvo os militares da Ucrânia usando malware personalizado
A estratégia da Secret Blizzard centra-se na exploração da infraestrutura ligada a outros atores, como Storm-1919 e Storm-1837. Este método melhora o acesso a alvos específicos, especialmente pessoal e dispositivos militares. Ao conseguirem diversificar os seus vetores de ataque, podem penetrar em sistemas críticos de forma mais eficaz.
A organização emprega várias ferramentas de malware distintas, incluindo o backdoor Tavdig e cargas úteis KazuarV2. Essas ferramentas são projetadas para manter acesso persistente e coletar inteligência. A porta dos fundos Tavdig foi implantada notavelmente em ambientes de alto risco associados às operações da linha de frente dos militares ucranianos.
Astutamente, a Secret Blizzard utilizou o bot Amadey em março e abril de 2024 para distribuir seus backdoors Tavdig. O bot Amadey, normalmente usado para criptomineração, permitiu ao grupo ganhar uma posição segura nos dispositivos alvo. Esta iteração, versão 4.18, possuía recursos de reconhecimento que incluíam a coleta de informações do dispositivo e a coleta de credenciais por meio de vários plug-ins.
A Secret Blizzard implantou ainda uma ferramenta de reconhecimento personalizada destinada a dispositivos provenientes de endereços IP STARLINK. Esta ferramenta coletou dados cruciais, incluindo configurações e diretórios do sistema. A transmissão de dados ocorreu através de protocolos de criptografia RC4 para um servidor de comando e controle (C2).
Lazarus Group tem como alvo o macOS com malware trojan RustyAttr
A carga KazuarV2 empregada pela Secret Blizzard era frequentemente injetada em processos confiáveis para garantir sigilo. Implantando técnicas de sideload de DLL, ele contornou com sucesso as medidas de detecção implementadas pelas vítimas. Da mesma forma, o backdoor Storm-1837, introduzido em dezembro de 2023, permitiu ao grupo estabelecer acesso contínuo aos dispositivos dos operadores de drones ucranianos.
A implantação incluiu a utilização da API Telegram para conexões de plataforma de compartilhamento de arquivos credenciadas, permitindo a instalação remota de outras cargas maliciosas.
À luz destes ataques sofisticados, as organizações são instadas a reforçar as suas defesas. As recomendações incluem o fortalecimento da segurança do endpoint por meio da proteção contra adulteração e recursos em tempo real do Microsoft Defender. Isto deve ser complementado pela implementação de proteções de rede, incluindo o monitoramento das atividades do PowerShell e a restrição de scripts não autorizados.
Para monitorar indicadores de comprometimento (IOCs), é essencial rastrear domínios específicos como citactica.com e icw2016.coachfederation.cz. A consulta regular de atividades suspeitas do PowerShell também deve fazer parte de um mecanismo de defesa proativo.
Crédito da imagem em destaque: Philipp Katzenberger/Unsplash
