São Paulo — InkDesign News — Uma nova campanha cibernética, atribuída ao grupo APT conhecido como “Librarian Ghouls”, tem como alvo organizações na Rússia com ataques furtivos, visando roubar dados sensíveis e implantar mineradores de criptomoedas.
Vetor de ataque
Os ataques iniciam com e-mails de phishing que contêm arquivos de arquivos protegidos por senha, disfarçados como documentos oficiais, como PDFs de ordens de pagamento. Uma vez que o destinatário abre o arquivo e extrai os arquivos contidos, a cadeia de infecção é ativada. O payload é programado para acordar o sistema alvo automaticamente às 1h da manhã, permitindo que os atacantes acessem remotamente o dispositivo por um período de quatro horas, antes de retornar ao modo inativo às 5h.
Impacto e resposta
Desde o lançamento em dezembro de 2022, a campanha comprometeu centenas de vítimas, principalmente em setores industriais e acadêmicos na Rússia, bem como em menor escala na Bielorrússia e no Cazaquistão. A Kaspersky observou que o grupo “Librarian Ghouls” utiliza software de terceiros legítimos, complicando a detecção e a atribuição do ataque. “Todos os recursos maliciosos dependem de instaladores, comandos e scripts do PowerShell”, afirmaram os pesquisadores.
A estratégia de empregar ferramentas de terceiros legítimas aumenta a dificuldade de identificação e mitigação das atividades maliciosas.
(“The strategy of employing legitimate third-party tools increases the difficulty of identifying and mitigating malicious activities.”)— Kaspersky Research Team
Análise e recomendações
Os ataques dependem de um instalador autoextraível que utiliza o Smart Install Maker para implantar um conjunto de ferramentas. Entre elas, encontramos AnyDesk para acesso remoto, Blat para exfiltração de e-mails via SMTP, e um script PowerShell que permite configurar tarefas de despertar automáticas e desativar o Windows Defender. O uso de técnicas conhecidas como “living off the land” (LotL) facilita a evasão de sistemas de detecção e a diferenciação entre atividades benignas e maliciosas, desafiando as medidas de segurança tradicionais.
Para mitigar riscos, recomenda-se a implementação de políticas de segurança robustas que incluam a educação e treinamento dos usuários sobre phishing, bem como a atualização constante de sistemas e softwares de segurança que possam identificar e bloquear esses vetores de ataque.
Esses incidentes destacam a necessidade de vigilância contínua e defesa em camadas nas organizações, especialmente em indústrias críticas. Novas atualizações sobre as táticas deste grupo devem ser esperadas, com um alerta aumentado para as empresas em setores vulneráveis.
Fonte: (Dark Reading – Segurança Cibernética)
