Cisco Talos Intelligence detalhou uma campanha de ciberespionagem protagonizada por um novo grupo de atacantes, nomeado de YoroTrooper. Segundo os pesquisadores, a campanha, que ocorre desde junho do ano passado, tem como alvos organizações governamentais e do setor de energia em países da Comunidade dos Estados Independentes. O processo de infecção observado se inicia através do envio de e-mails, supostamente associados a entidades da Bielorússia ou da Rússia, que contém arquivos RAR e TAR que armazenam LNKs e PDFs maliciosos. Esses arquivos, após serem abertos, carregam payloads adicionais hospedados em servidores remotos controlados pelos adversários.
Adicionalmente, a pesquisa informa que o YoroTrooper já foi observado empregando malwares amplamente utilizados como o AveMaria (Warzone RAT) e o LodaRAT. No entanto, em campanhas mais recentes, os adversários estão usando um RAT customizado desenvolvido em Python em associação com o Nuitka, um utilitário que facilita a distribuição de payloads em Python sem a necessidade de ter o interpretador da linguagem instalado no sistema da vítima. Por fim, o RAT analisa usa o Telegram como servidor de comando e controle e possui funcionalidades que permitem a extração de informações sensíveis e execução arbitrária de comandos no sistema da vítima.
"Esse novo agente de ameaça que estamos chamando de “YoroTrooper” tem como alvo governos em toda a Europa Oriental desde pelo menos junho de 2022, e o Cisco Talos encontrou três clusters de atividades diferentes com infraestrutura sobreposta, todos vinculados ao mesmo agente de ameaça. O Cisco Talos não tem uma visão geral completa desse agente de ameaça, pois conseguimos coletar quantidades variadas de detalhes em cada campanha. Em alguns casos, por exemplo, conseguimos traçar o perfil completo de uma campanha, enquanto em outros identificamos apenas a infraestrutura ou os dados comprometidos." - Asheer Malhotra, Vitor Ventura
Comentários