Categoria: Inteligência de malwareTipo: Trojan de acesso remotoIndústria: MúltiploRegião: Global

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Os hacktivistas russos projetaram o Ekipa RAT para ataques direcionados.
• RAT capaz de extrair informações do sistema, executar comandos e fazer upload de arquivos remotamente.

• Maior risco de propagação de malware em sistemas ignorados pelo AV/Defender.
• Provisão de maiores privilégios do sistema.

• Mantenha as versões do AV/Defender atualizadas.
• Ignore o clique em links suspeitos.

Análise e atribuição

Informações do Post

• Em 10 de fevereiro de 2022, CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um agente de ameaças anunciando uma macro RAT (Trojan de Acesso Remoto) apelidada de “Ekipa”, criada por hacktivistas russos.
• O Ekipa foi projetado principalmente para “ataques direcionados”, ou seja, para ser empregado contra qualquer pessoa que se recuse a aceitar as crenças políticas russas.
• O preço anunciado do RAT é de USD 3.000 e o ator pode ser contatado via XMPP.

[caption id="attachment_19909" align="aligncenter” width="1750"] O cerne da postagem do ator da ameaça no fórum [/caption]

Sobre Ekipa

• Ekipa (gíria para “equipamento”) é um complemento de macro/Excel do MS Word, habilitado para AMSI e um carregador não residente com funções de navegador de arquivos.
• Funciona remotamente e não existe na RAM da vítima.
• Parece ser um painel de controle, no entanto, funciona como um poderoso RAT com scripts incorporados do Visual Basic (VB).
• Os modelos de macro VB atuam como um ponto de apoio para o Ekipa e são capazes de extrair o detalhes da vítima.
• FUD (totalmente indetectável) RAT, conforme ilustrado em vários escaneamentos antivírus, no PoC.

Vetor de ataque

• O RAT é equipado com um construtor de GUI, para especificar o sistema de destino.
• O ponto de partida do ataque é um documento Word/Excel infectado criado pelo atacante.

[caption id="attachment_19910" align="aligncenter” width="312"] Solicitação de complemento do aplicativo a ser habilitada para o MS Excel [/caption]

• Dois modelos XML contêm instruções para extrair informações geográficas e detalhes do sistema do alvo.
• Eles são injetados no documento do Word/Excel.
• As etapas de ataque são as mesmas para ambos, no entanto, os suplementos de aplicativos precisam estar habilitados para o Excel.
• O CVE 2021-26411, ou seja, usado após a vulnerabilidade de corrupção de memória livre no Internet Explorer, é usado para alavancagem.
• O exploit é codificado no modelo, que é então usado para iniciar o RAT.
• O vetor de ataque explorado é a injeção remota de modelos.

Modus Operandi

Um PoC (Prova de Conceito) funcional do anúncio forneceu o seguinte modus operandi:

• A vítima recebe um documento simples do Word que contém discurso de ódio ou alguma agenda hacktivista descrita em inglês ou russo.
• Ao abrir o documento, um modelo de macro é injetado remotamente, o que permite extrair informações do sistema de destino.
• As informações são registradas pelo painel Ekipa e fornecidas ao atacante.

[caption id="attachment_19911" align="aligncenter” width="824"] Painel Ekipa do lado do ator da ameaça registrando informações do alvo [/caption]

• Usando a seção Implantes, um invasor pode aproveitar ainda mais seu acesso inicial ao sistema comprometido para executar comandos ou fazer upload de arquivos remotamente.
  • A imagem abaixo mostra uma tentativa de abrir uma conexão remota no host comprometido, baixando o aplicativo cliente PuTTY no host comprometido.

[caption id="attachment_19912" align="aligncenter” width="206"] Atacante tentando abrir uma conexão remota no host comprometido [/caption]

• • A imagem abaixo mostra uma tentativa de execução remota de comando via GUI C-Panel, usando o comando “shutdown”.

[caption id="attachment_19913" align="aligncenter” width="222"] Atacante executando o comando “shutdown” [/caption]

Problemas

• Uma desvantagem desse RAT é que ele funciona somente quando as macros estão habilitadas.
• Com o Microsoft Office desativando macros indefinidamente, o TTP da Ekipa é menos proeminente agora.

Possível motivação

A motivação do agente de ameaças por trás do desenvolvimento e compartilhamento do RAT inclui:

• Propagação da agenda política russa contra seus inimigos durante a guerra entre Rússia e Ucrânia
• Exfiltrando informações confidenciais
• Obtendo acesso remoto ao sistema

Menções em outros fóruns

• Uma postagem semelhante (escrita em russo) do mesmo ator foi identificada em 8 de fevereiro de 2022, em um fórum clandestino inglês de crimes cibernéticos.

[caption id="attachment_19914" align="aligncenter” width="1680"] Uma postagem semelhante foi feita em outro fórum clandestino de crimes cibernéticos, anunciando o serviço Ekipa. [/legenda]

• Um Tweet também mencionou o RAT, mas nenhuma discussão adicional foi observada.

[caption id="attachment_19915" align="aligncenter” width="898"] Captura de tela do Twitter, mencionando o relatório da Malwarebytes sobre o Ekipa RAT [/caption]

Impacto e mitigação

ImpactoMitigação

• A provisão de privilégios mais altos no sistema pode levar à ocorrência de alterações indesejadas no sistema.
• Exfiltração de informações confidenciais de sistemas comprometidos.
• Capacidade de executar comandos maliciosos ou fazer upload de arquivos de malware remotamente.

• Implemente privilégios mínimos em sistemas de computador e use privilégios root/admin somente quando necessário.
• Monitore todo o acesso à rede de/para sistemas de computador.
• Verifique se há comportamento anormal, se houver algum, em sistemas de computador.

Provedores de segurança testados contra o Ekipa

Provedores de antivírus e segurança ignoradospor Gavastavira Bit Defender BullGuard Comodo DR-WEBF-SecureG-DataKaspersky Malwarebytes McAfee NOD 32 Norton Panda Symantec Trend Micro Windows Defender

Histórico dos domínios contatados

Lista de domínios contatados pela Ekipahttps [:] //cloud-documents [.] com/https [:] //cloud-documents.com/doc// doc?action=load_document/doc?action=show_content

Detalhes extraídos por Ekipa

Detalhes retornados pelos modelos de macroNome do tópico (a capacidade de criar tópicos com nomes diferentes para finalidades diferentes) Capture o endereço IP do dispositivo/país/cidade/versão do Windows e da lista de processosProfundidade de bits MS Word/ExcelDomínio e nome de usuário: Lista do software antivírus instalado, seu status e relevância das atualizações/Fabricante e modelo de CPU e GPU, com capacidade de RAM. A quantidade total de unidades e espaço livre neles Navegador de arquivosVisualize arquivos e diretórios no PC de destino Baixe arquivos e diretórios pastas de/para o PC de destino como um arquivo.zip de até 2 GB de tamanhoExclua, renomeie e mova arquivos no PC de destino Executando arquivos executáveis .exe, .dll, etcExecução de comandos arbitrários de linha de comando

Indicadores de compromisso

Hash MD5a0b9a840adaba6664e7d26619c20bbd1224cb9048f8743986b552d04f9e804cdHash SHA-10ac675e26b14a0bedf314799423d015f49f9a9a9f43567c37e030c07f8ab66f37b3f378b38bd14c92fSHA-25603eb08a930bb464837ede77df6c66651d526bab1560e7e6e0e8466ab23856bac0661fc4eb09e99ba4d8e28a2d5fae6bb243f6acc0289870f9414f93287210a

Referências

• ^#Protocolo de semáforo - Wikipedia
• O “manifesto” da Crimeia implanta o VBA Rat usando vetores de ataque duplo | Malwarebytes Labs
• Controle de conta de usuário - Wikipedia
• A fraqueza do Microsoft Defender permite que hackers ignorem a detecção de malware (bleepingcomputer.com)

Apêndice

[caption id="attachment_19916" align="aligncenter” width="1679"] Modelos XML injetados no documento Word/Excel [/caption] [caption id="attachment_19917" align="aligncenter” width="1143"] Classificação do fornecedor de segurança dos hashes associados ao Ekipa RAT [/caption] [caption id="attachment_19918" align="aligncenter” width="958"] Classificação do fornecedor de segurança dos hashes associados ao Ekipa RAT [/caption] [caption id="attachment_19919" align="alignnone” width="1048"] Avaliação de um cliente satisfeito no fórum [/caption] Tradução da avaliação - “Eu comprei e testei o produto, a funcionalidade declarada funciona 100% Excelente suporte em todas as etapas da implementação, todas as dificuldades que surgiram (do meu lado) foram resolvidas com sucesso e rapidez.”