Especialistas em segurança do Deep Instinct Threat Lab revelaram uma campanha de espionagem cibernética dirigida a militares ucranianos. Os invasores aproveitaram uma vulnerabilidade do Microsoft Office, CVE-2017-8570 , conhecido há quase sete anos, para implantar a ferramenta pós-exploração Cobalt Strike. Esta descoberta foi feita depois que um arquivo PPSX malicioso foi carregado da Ucrânia para a plataforma de verificação antivírus espanhola VirusTotal no final de 2023 , indicando um esforço sofisticado para comprometer alvos militares.
Detalhamento técnico do ataque
A fase inicial do ataque envolveu um arquivo de apresentação de slides em PowerPoint, disfarçado como um manual do Exército dos EUA para lâminas de remoção de minas de tanques, que continha um link remoto para um objeto OLE externo. O uso do prefixo “script:” no arquivo apontava para a exploração do CVE-2017-8570, um método para contornar outra vulnerabilidade, CVE-2017-0199. O script remoto, hospedado em um domínio protegido pela CloudFlare, levou a um provedor russo de VPS, complicando ainda mais a rastreabilidade do ataque. A segunda etapa envolveu um arquivo HTML com JavaScript código projetado para garantir persistência, decodificar e salvar a carga útil incorporada como um arquivo Cisco AnyConnect VPN aparentemente inócuo. Essa carga útil, uma biblioteca de link dinâmico, foi responsável por injetar o Cobalt Strike Beacon na memória, aguardando instruções adicionais de um comando e controle (. C2).
Táticas de evasão e desafios de atribuição
Os invasores empregaram uma versão crackeada do Cobalt Strike e implementaram vários recursos para evitar a detecção e complicar a análise, especialistas em segurança cibernética Apesar da natureza sofisticada do ataque, o Deep Instinct Threat Lab não o atribuiu a nenhum ator de ameaça conhecido. As evidências recolhidas sugerem que a amostra teve origem na Ucrânia, com a segunda fase alojada por um fornecedor russo de VPS e o Cobalt beacon C&C registado em Varsóvia, Polónia. A escolha dos nomes de domínio para o ataque, que parecia não ter relação com conteúdo militar, adicionou uma camada adicional de ofuscação às intenções dos atacantes.
