Descoberta e escopo da campanha
Uma nova cadeia de ataque documentada, vinculada ao grupo de ameaças UAC-0184, tem sido observada utilizando ferramentas nativas do Windows, como o bitsadmin e arquivos HTA, para infiltrar payloads maliciosos em sistemas-alvo. A campanha é direcionada primariamente à Ucrânia, com indicadores claros apontando para alvos relacionados ao setor militar, incluindo indivíduos conectados às Forças de Defesa da Ucrânia. O nível de refinamento e paciência exibido em cada estágio desta cadeia de infecção distingue esta operação de campanhas mais ruidosas e menos disciplinadas que surgiram recentemente.
Vetor de infecção e engenharia social
Os atacantes utilizam iscas de engenharia social baseadas em temas como processos criminais, vídeos de combate e solicitações de contato pessoal para enganar as vítimas e induzi-las a abrir arquivos maliciosos. Uma vez que a vítima abre o documento armadilhado, seja ele apresentado como um PDF, um arquivo Word ou uma planilha Excel, o bitsadmin busca silenciosamente um arquivo HTA de um servidor remoto controlado pelos atacantes em segundo plano. Esse arquivo HTA é então executado usando o mshta.exe, avançando a infecção sem levantar alarmas imediatos na máquina comprometida.
Análise técnica do payload
Os analistas da Synaptic Security relataram que o mecanismo de entrega parece ser "gated", o que significa que o payload é servido apenas para sistemas que passam por certos critérios de filtragem, o que provavelmente ajuda a filtrar sandboxes e ambientes de pesquisadores de segurança. O arquivo HTA, uma vez executado, executa um comando PowerShell oculto que baixa um arquivo ZIP chamado dctrprraclus.zip do servidor de comando e controle (C2) no endereço IP 169.40.135.35.
O arquivo ZIP se descompacta em uma pasta dentro do diretório AppData e lança dois arquivos lado a lado: um aplicativo de visualizador de música chamado Cluster-Overlay64.exe e um PDF isca chamado Scan_001.pdf. O PDF é mostrado à vítima como uma distração enquanto a infecção real continua silenciosamente e indetectada em segundo plano. O código malicioso real não está dentro do executável principal, mas sim enterrado dentro de arquivos DLL e blobs locais codificados, decodificados em tempo de execução através de um processo de múltiplos estágios combinando operações XOR com descompressão LZNT1.
Abuso de software assinado para identidade de cobertura
Um dos aspectos mais marcantes desta campanha é como o ator de ameaça recorre agressivamente a software legítimo e assinado para mascarar comportamentos maliciosos dos defensores. O componente final voltado para a rede envolve componentes de rede do PassMark BurnInTest sendo reaproveitados como um canal de comando e controle covert, ouvindo no porta UDP 31339 por tráfego de descoberta de peer multicast. Este abuso de uma pilha de software legítima e assinada pela Microsoft dá ao atacante uma identidade de cobertura convincente dentro de uma árvore de processos confiável.
O payload final é então side-loaded no VSLauncher.exe, um binário legítimo do Visual Studio assinado pela Microsoft que o envolve em uma identidade digital confiável. O PassMark Endpoint, uma utilidade comercial genuína de teste de rede, torna-se o componente final voltado para a rede, carregando capacidades como dumping de memória de processo via MiniDumpWriteDump e transferência de dados peer sobre a porta TCP 31339.
Indicadores de Comprometimento (IoCs)
Os defensores são aconselhados a monitorar o uso de bitsadmin e mshta.exe em conjunto, especialmente quando pareados com padrões de nome de arquivo temporário suspeitos como ~tmp(...).hta. As equipes de rede devem observar tráfego UDP em direção a 224.0.0.255 na porta 31339, que é o endereço de descoberta multicast do PassMark que esta campanha reaproveita para sua própria comunicação. A presença de VSLauncher.exe executando fora de um caminho de instalação legítimo do Visual Studio, ou qualquer evento de criação de arquivo inesperado dentro de %APPDATA%\ApplicationData32, deve ser tratado como um sinal de alerta sério que exige investigação imediata.
Recomendações para CISOs
Para mitigar esta ameaça, as organizações devem implementar políticas de restrição de execução de scripts, bloquear o uso de ferramentas de linha de comando como bitsadmin e mshta.exe em ambientes críticos, e monitorar tráfego de rede incomum em portas de descoberta multicast. A análise de comportamento de processos que carregam DLLs de fontes não confiáveis também é essencial para detectar técnicas de side-loading.