Numa revelação recente, a empresa de segurança cibernética Mandiant expôs as atividades de um ator de ameaça com motivação financeira conhecido como UNC4990. Este grupo sofisticado está empregando uma combinação única de ataques baseados em USB e exploração de plataformas online legítimas, incluindo GitHub, Vimeo e Ars Technica. Ao ocultar cargas codificadas em conteúdo aparentemente inofensivo nessas plataformas, o UNC4990 consegue evitar a detecção e capitaliza a confiança associada a redes de distribuição de conteúdo confiáveis.
Táticas de ataque baseadas em USB do UNC4990
As ações do UNC4990 envolvem o início de campanhas por meio de Dispositivos USB contendo arquivos de atalho LNK maliciosos. Depois que esses arquivos são executados inadvertidamente pelas vítimas, um script do PowerShell chamado explorer.ps1 é acionado. Este script, por sua vez, baixa uma carga intermediária, decodificada para revelar uma URL que busca o downloader de malware chamado 'EMPTYSPACE'.
O agente da ameaça implanta vários métodos de hospedagem para essas cargas intermediárias, incluindo arquivos de texto codificados no GitHub e no GitLab. No entanto, o grupo mudou as estratégias para explorar o Vimeo e o Ars Technica para hospedar cargas úteis de string codificadas em Base64 e criptografadas em AES. É importante ressaltar que o UNC4990 não explora vulnerabilidades nessas plataformas, mas usa recursos regulares de maneira inteligente, como perfis de fórum da Ars Technica e descrições de vídeos do Vimeo.
Essas cargas úteis, sequências de texto aparentemente inócuas nas plataformas de hospedagem, desempenham um papel crucial na cadeia de ataque, facilitando o download e a execução de malware. Ao incorporar cargas maliciosas em conteúdo legítimo e aproveitar plataformas confiáveis, o UNC4990 consegue operar sob o radar, tornando um desafio para os sistemas de segurança sinalizá-los como suspeitos.
Backdoor multicomponente do UNC4990: QUIETBOARD
À medida que a cadeia de ataque UNC4990 avança, o grupo de ameaças implanta o QUIETBOARD, um backdoor sofisticado com diversos recursos. Uma vez ativado, esse backdoor multicomponente executa comandos do servidor de comando e controle (C2). Algumas de suas funcionalidades incluem alterar o conteúdo da área de transferência para roubo de criptomoedas, infectar unidades USB para propagar malware, capturar capturas de tela para roubo de informações e coletar informações detalhadas do sistema e da rede. QUIETBOARD exibe persistência nas reinicializações do sistema e suporta a adição de novas funcionalidades por meio de módulos extras.
Apesar das medidas tradicionais de prevenção, o malware baseado em USB continua a ser uma ameaça significativa, servindo como um meio de propagação eficaz para os cibercriminosos. A abordagem inovadora do UNC4990 de usar plataformas aparentemente inócuas para cargas intermediárias desafia os paradigmas de segurança convencionais e enfatiza a necessidade de vigilância contínua no cenário dinâmico da segurança cibernética.
Proteção contra UNC4990 e ameaças semelhantes
- Melhore a segurança do endpoint: Fortaleça as medidas de segurança de endpoint para detectar e impedir a execução de arquivos de atalho LNK maliciosos e scripts do PowerShell.
- Vigilância de dispositivos USB: Tenha cuidado ao usar dispositivos USB e evite executar arquivos desconhecidos ou suspeitos.
- Auditorias regulares de segurança: Conduza auditorias de segurança de rotina para identificar e mitigar vulnerabilidades em sistemas e redes.
- Educação do usuário: Eduque os usuários sobre os riscos associados aos ataques baseados em USB e a importância de evitar conteúdo desconhecido ou não verificado.
- Monitoramento de rede: Implemente um monitoramento robusto da rede para detectar atividades e comunicações incomuns que possam indicar um comprometimento.
- Atualizar políticas de segurança: Atualize regularmente as políticas de segurança para enfrentar as ameaças em evolução e reforçar as medidas preventivas.
As táticas da UNC4990 sublinham a necessidade de uma abordagem de segurança cibernética proativa e multifacetada. Tanto as organizações como os indivíduos devem manter-se informados, vigilantes e adaptar continuamente as suas práticas de segurança para impedir ameaças emergentes. ameaças. Face às estratégias inovadoras da UNC4990, é fundamental um esforço colectivo para reforçar a resiliência da segurança cibernética.
