spot_img
22.9 C
São Paulo
spot_img
HomeTop Global NewsAICiberespionagem e Malware: A Ameaça do UNC5812 na Ucrânia

Ciberespionagem e Malware: A Ameaça do UNC5812 na Ucrânia

identificar-neutalizar-sunspinner
Identificando o Malware SUNSPINNER: a ameaça da ciberespionagem.
Alegon
By Alegon

Uma suspeita de operação russa de espionagem e influência híbrida foi observada entregando uma mistura de malware para Windows e Android visando o exército ucraniano sob a persona do Telegram Civil Defense.

O Grupo de Análise de Ameaças do Google (TAG) e a Mandiant estão monitorando a atividade sob o nome UNC5812. O grupo de ameaças, que opera um canal no Telegram chamado civildefense_com_ua, foi criado em 10 de setembro de 2024. Até o momento da redação, o canal possui 184 assinantes. Ele também mantém um site em civildefense.com[.]ua que foi registrado em 24 de abril de 2024.

A ‘Civil Defense’ afirma ser um fornecedor de programas de software gratuitos projetados para permitir que potenciais conscritos visualizem e compartilhem locais de recrutadores militares ucranianos que foram obtidos por meio de crowdsourcing.

Se esses programas forem instalados em dispositivos Android com o Google Play Protect desativado, eles foram projetados para implantar um malware commodity específico do sistema operacional juntamente com um aplicativo de mapeamento falso chamado SUNSPINNER.

O UNC5812 também está ativamente envolvido em operações de influência, disseminando narrativas e solicitando conteúdo destinado a minar o apoio à mobilização e aos esforços de recrutamento militar da Ucrânia.

A campanha do UNC5812 é altamente característica da ênfase que a Rússia coloca em alcançar um efeito cognitivo por meio de suas capacidades cibernéticas, e destaca o papel proeminente que os aplicativos de mensagens continuam a desempenhar na entrega de malware e em outras dimensões cibernéticas da guerra da Rússia na Ucrânia.

A Civil Defense, que teve seu canal no Telegram e seu site promovidos por outros canais legítimos e estabelecidos de língua ucraniana no Telegram, visa direcionar as vítimas ao seu site, de onde o software malicioso é baixado dependendo do sistema operacional.

Para os usuários do Windows, o arquivo ZIP leva à implementação de um novo carregador de malware baseado em PHP chamado Pronsis, que é usado para distribuir o SUNSPINNER e um malware conhecido como PureStealer, que é anunciado por preços que variam de $150 para uma assinatura mensal a $699 para uma licença vitalícia.

Malware via Telegram

O SUNSPINNER, por sua vez, exibe para os usuários um mapa que representa supostas localizações de recrutadores militares ucranianos de um servidor de comando e controle (C2) controlado por atores.

Para aqueles que acessam o site a partir de dispositivos Android, a cadeia de ataque implanta um arquivo APK malicioso (nome do pacote: “com.http.masters“) que embute um cavalo de Troia de acesso remoto referido como CraxsRAT.

O site também inclui instruções que orientam as vítimas sobre como desativar o Google Play Protect e conceder todas as permissões solicitadas, permitindo que o malware funcione sem impedimentos.

CraxsRAT é uma família de malware Android notória que possui capacidades para controle remoto de dispositivos e funções avançadas de spyware, como registro de teclas, manipulação de gestos e gravação de câmeras, telas e chamadas.

Depois que o malware foi exposto publicamente pela Cyfirma no final de agosto de 2023, o EVLF, o ator de ameaças por trás do projeto, decidiu cessar a atividade, mas não antes de vender seu canal no Telegram para um ator de ameaças que fala chinês.

Até maio de 2024, o EVLF teria parado o desenvolvimento do malware devido a golpistas e versões piratas, mas afirmou que estava trabalhando em uma nova versão baseada na web que pode ser acessada de qualquer máquina.

Embora o site da Civil Defense também anuncie suporte para macOS e iPhones, apenas cargas úteis para Windows e Android estavam disponíveis no momento da análise.

As perguntas frequentes do site contêm uma justificativa forçada para o aplicativo Android estar hospedado fora da App Store, sugerindo que é um esforço para ‘proteger a anonimidade e a segurança’ de seus usuários, e direcionando-os a um conjunto de instruções em vídeo que acompanham.

Quais os passos para identificar e neutralizar o malware SUNSPINNER?

A ciberespionagem tem se tornado uma preocupação crescente em todo o mundo, especialmente em contextos de conflito como o da Ucrânia. Um dos malwares que tem chamado a atenção é o SUNSPINNER, que está associado a atividades de grupos como o UNC5812. Neste artigo, discutiremos os passos para identificar e neutralizar esse malware, utilizando ferramentas eficazes, como as do Sysinternals.

Identificação de Malware

1. Análise de Processos

  • Use o Process Explorer para inspecionar os processos em execução no sistema. Procure por processos suspeitos, especialmente aqueles que não têm assinaturas digitais válidas ou que estão executando em contextos de segurança inesperados.
  • Verifique a linha de comando e o caminho do processo para identificar qualquer atividade suspeita.

2. Verificação de Assinaturas Digitais

  • Utilize o Process Explorer ou o SigCheck (outro tool do Sysinternals) para verificar a presença de assinaturas digitais nos executáveis. A falta de uma assinatura digital válida pode indicar a presença de malware.

3. Monitoramento de Atividades do Sistema

  • Use o Process Monitor para capturar e analisar as atividades do sistema, incluindo acessos a arquivos, chaves do registro e operações de rede. Isso pode ajudar a identificar comportamentos suspeitos associados ao malware.

4. Análise de Autostart Execution Points

  • Utilize o Autoruns para examinar os pontos de autostart do sistema, identificando qualquer entrada suspeita que possa indicar a presença de malware.

Neutralização do Malware

1. Remoção de Processos e Serviços

  • Use o Process Explorer para terminar processos suspeitos e remover serviços associados ao malware.
  • Verifique se o processo está hospedado dentro de um processo legítimo e remova o malware daquela instância.

2. Remoção de Arquivos Maliciosos

  • Identifique e remova os arquivos maliciosos, incluindo o arquivo ZIP que leva à implementação do carregador de malware Pronsis e o arquivo APK malicioso que embute o CraxsRAT.
  • Use o Process Monitor para localizar e remover quaisquer arquivos ou pastas associadas ao malware.

3. Limpeza do Registro e Configurações

  • Use o Regedit ou o Process Monitor para limpar quaisquer entradas do registro que o malware possa ter criado.
  • Verifique e remova quaisquer configurações ou arquivos de configuração associados ao malware.

4. Verificação de Digital Certificates

  • Utilize o SigCheck com a opção -s e -ii para verificar digital certificates e identificar executáveis sem assinaturas válidas, o que pode indicar a presença de malware.

5. Uso de Ferramentas de Segurança

  • Integre ferramentas como o VirusTotal com o Process Explorer para obter informações adicionais sobre os arquivos suspeitos e confirmar se eles são maliciosos.

Conclusão

A identificação e neutralização de malwares como o SUNSPINNER são essenciais para proteger sistemas e informações sensíveis, especialmente em um cenário de ciberespionagem. O uso de ferramentas adequadas e a realização de análises criteriosas podem ajudar a minimizar os riscos de infecções por malware. A vigilância constante e a atualização de conhecimentos sobre novas ameaças, como aquelas que podem ser propagadas através de plataformas como o Telegram, são fundamentais para garantir a segurança digital.

Referências

Fonte

#ciberespionagem, #malware, #Telegram, #UNC5812, #Ucrânia, #Android, #influência, #cryptoalch

Previous article
Ameaça de Malware BeaverTail em Pacotes NPM: O Perigo para Desenvolvedores
Next article
Operação Magnus: A Combate aos Infostealers Redline e Meta

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us