Descoberta e escopo do toolkit
Um novo toolkit de acesso remoto vinculado a hackers russos, chamado "CTRL", está sendo usado para sequestrar sessões de Protocolo de Área de Trabalho Remota (RDP) e roubar credenciais de sistemas Windows. De acordo com a Censys ARC, o malware é um framework .NET personalizado que combina phishing, keylogging, tunelamento reverso e persistência em uma única cadeia de ataque.
A Censys ARC disse que o toolkit foi descoberto durante a varredura de diretórios abertos, após pesquisadores encontrarem um arquivo LNK malicioso e três payloads .NET hospedados vinculados ao domínio hui228[.]ru. Segundo a Censys, o framework não apareceu em repositórios públicos de malware ou feeds de inteligência de ameaças no momento da análise, sugerindo que pode ser usado privadamente em vez de amplamente distribuído.
Os pesquisadores vincularam a operação a um desenvolvedor de língua russa com base em strings em russo, artefatos de desenvolvimento e detalhes de infraestrutura de suporte. A Censys ARC também observou que o toolkit foi construído para sistemas Windows modernos, incluindo lançamentos recentes, mostrando que o malware está em desenvolvimento ativo.
Técnicas de exploração e persistência
O ataque começa com um arquivo de atalho armado disfarçado como uma pasta com nome de arquivo de chave privada. De acordo com a Censys, o arquivo LNK inicia código PowerShell oculto que decodifica e executa um carregador de múltiplas etapas inteiramente na memória.
A Censys ARC descobriu que o malware armazena payloads dentro de chaves de registro do Windows sob caminhos relacionados ao Explorer. Assim, eles se misturam com dados normais do sistema. O stager então cria tarefas agendadas, adiciona regras de firewall, baixa componentes adicionais e prepara o sistema para acesso de longo prazo.
O relatório também diz que o malware pode contornar o Controle de Conta de Usuário (UAC) usando um sequestro de registro e um binário assinado da Microsoft. Uma vez elevado, ele instala o resto do toolkit e mantém o acesso através de reinicializações.
RDP Hijacking e roubo de credenciais
Uma das partes mais perigosas do CTRL é sua capacidade de habilitar acesso RDP oculto. De acordo com o relatório da Censys ARC, o malware patchea o termsrv.dll e instala o RDP Wrapper para que os atacantes possam criar sessões de área de trabalho remota concorrentes sem alertar a vítima.
O toolkit também inclui um prompt de PIN Windows Hello falso. Pesquisadores da Censys disseram que a janela de phishing copia de perto a interface real do Windows, exibe os detalhes da conta reais da vítima e valida PINs roubados contra o processo de autenticação real.
Além disso, o malware executa um keylogger em segundo plano e suporta execução de comando via um pipe nomeado chamado ctrlPipe. De acordo com a Censys, isso permite que o operador controle a máquina infectada localmente via sessão RDP comprometida em vez de usar um canal de comando e controle tradicional ruidoso.
Indicadores de comprometimento (IOCs)
O IP 194.33.61.36 é usado para hospedagem de payload e como servidor de relay FRP. O IP 109.107.168.18 atua como um relay FRP secundário na porta 7000. O domínio hui228[.]ru é usado para comando e controle via DNS dinâmico.
Uma entrada de registro maliciosa é criada em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\, armazenando o payload como ShellStateVersion1. O arquivo C:\Temp\keylog.txt é usado para armazenar teclas capturadas. O arquivo C:\ProgramData\frp\frpc.toml contém configuração FRP oculta e tokens C2.
A Censys ARC recomenda monitorar dados binários incomuns escritos em chaves de registro do Explorer, tarefas agendadas inesperadas, instalação de RDP Wrapper e contas de nível administrador ocultas. Defensores também devem observar tráfego FRP de saída e sistemas fazendo conexões suspeitas à infraestrutura listada.
Recomendações para CISOs
As organizações devem bloquear os IPs e domínios listados nos firewalls de perímetro e gateways de proxy. O monitoramento de chaves de registro do Explorer para alterações não autorizadas é crucial. Além disso, a desabilitação de tarefas agendadas não reconhecidas e a verificação de processos de RDP Wrapper devem ser parte da rotina de resposta a incidentes.
Equipes de SOC devem configurar alertas para conexões de saída para os IPs 194.33.61.36 e 109.107.168.18. O treinamento de conscientização deve focar em arquivos LNK e a importância de não executar atalhos de fontes desconhecidas.
Perguntas frequentes
Qual é o objetivo principal do CTRL?
O objetivo é sequestrar sessões RDP e roubar credenciais para acesso persistente e controle remoto.
Como proteger contra o CTRL?
Bloquear IOCs, monitorar chaves de registro e desabilitar ferramentas de acesso remoto não autorizadas são medidas essenciais.
É necessário reiniciar o sistema?
Sim, após a remoção do malware, um reinício é recomendado para garantir que todas as persistências sejam limpas.