Desde a invasão em larga escala da Ucrânia pela Rússia em fevereiro de 2022, a ciberespionagem desempenha um papel crucial no panorama geral das ameaças. Grupos de ameaças persistentes avançadas (APT), alinhados com a Rússia, têm atacado incessantemente instituições ucranianas, empregando ciberataques em conjunto com campanhas de desinformação. A equipe de pesquisa da ESET tem monitorado essas atividades de perto, documentando regularmente as operações cibernéticas conduzidas por diversos cibercriminosos, incluindo o altamente ativo grupo Gamaredon.

Pontos-chave deste post:

  • O Gamaredon focou exclusivamente em atacar instituições governamentais ucranianas em 2024, abandonando tentativas anteriores contra países da OTAN.
  • O grupo aumentou significativamente a escala e frequência das campanhas de spearphishing, empregando novos métodos de entrega, como hiperlinks maliciosos e arquivos LNK que executam comandos PowerShell a partir de domínios hospedados no Cloudflare.
  • O Gamaredon introduziu seis novas ferramentas de malware, utilizando PowerShell e VBScript, projetadas principalmente para furtividade, persistência e movimentação lateral.
  • As ferramentas existentes receberam importantes atualizações, como maior ofuscação, táticas avançadas de ocultação e métodos sofisticados para movimentação lateral e exfiltração de dados.
  • Os operadores do Gamaredon conseguiram ocultar praticamente toda a sua infraestrutura de comando e controle (C&C) atrás de túneis do Cloudflare.
  • O Gamaredon depende cada vez mais de serviços de terceiros (Telegram, Telegraph, Cloudflare, Dropbox) e de DNS sobre HTTPS (DoH) para proteger sua infraestrutura de C&C.

Em uma publicação anterior, Espionagem na Ucrânia: análise das ferramentas usadas em 2022 e 2023, descrevemos as agressivas atividades de ciberespionagem do grupo Gamaredon contra instituições governamentais ucranianas. Como parte da nossa pesquisa contínua, realizamos uma análise técnica aprofundada das operações do Gamaredon ao longo de 2024. Os resultados detalhados e as perspectivas técnicas estão disponíveis em nosso último relatório técnico.

Nossa investigação mostra que o grupo continua bastante ativo, mantendo a Ucrânia como alvo constante, mas adaptou notavelmente suas táticas e ferramentas.

Ucrânia como alvo exclusivo

O Gamaredon, atribuído pelo Serviço de Segurança da Ucrânia (SSU) ao 18º Centro de Segurança da Informação do Serviço Federal de Segurança da Rússia (FSB), tem como alvo instituições governamentais ucranianas desde pelo menos 2013. Embora em anos anteriores tenham ocorrido tentativas esporádicas contra alvos de outros países da OTAN, em 2024 os operadores do Gamaredon voltaram a concentrar-se exclusivamente nas instituições ucranianas.

Isso está amplamente alinhado ao objetivo histórico do grupo como agente de ciberespionagem vinculado aos interesses geopolíticos russos. Dada a guerra em andamento e as tensões geopolíticas, prevemos que o foco do Gamaredon na Ucrânia permaneça inalterado no futuro próximo.

Campanhas de spearphishing cada vez maiores e mais frequentes

As atividades de spearphishing do Gamaredon intensificaram-se significativamente no segundo semestre de 2024. As campanhas geralmente duraram de um a cinco dias consecutivos, com e-mails contendo arquivos maliciosos (RAR, ZIP, 7z) ou arquivos XHTML usando técnicas de contrabando de HTML. Esses arquivos entregavam arquivos HTA ou LNK maliciosos que executavam downloaders VBScript incorporados, como o PteroSand.

Figure 1. Unique Gamaredon spearphishing samples seen per month
Imagem 1. Amostras únicas de spearphishing do Gamaredon observadas por mês.

Surpreendentemente, em outubro de 2024, observamos um raro caso em que os e-mails de spearphishing incluíam links maliciosos em vez de anexos, um desvio das táticas habituais do Gamaredon. Além disso, o grupo Gamaredon introduziu outra técnica inédita: o uso de arquivos LNK maliciosos para executar comandos PowerShell diretamente a partir de domínios gerados pelo Cloudflare, contornando alguns mecanismos tradicionais de detecção.

Evolução do conjunto de ferramentas: novas ferramentas e melhorias significativas

O conjunto de ferramentas do Gamaredon passou por grandes atualizações. Embora tenham sido introduzidas menos ferramentas novas (seis, em comparação às oito de 2022 e às nove de 2023), foram dedicados recursos significativos para atualizar e aprimorar as ferramentas já existentes:

As novas ferramentas introduzidas em 2024 incluem:

  • PteroDespair: Uma ferramenta de reconhecimento PowerShell de curta duração descoberta em janeiro de 2024, desenvolvida para coletar dados de diagnóstico sobre malware previamente implantado.
  • PteroTickle: Um weaponizer PowerShell descoberto em março de 2024, voltado para aplicativos Python convertidos em executáveis em unidades fixas e removíveis, facilitando o movimento lateral. Utiliza scripts Tcl normalmente encontrados em aplicativos GUI Python que usam Tkinter e são criados com PyInstaller.
  • PteroGraphin: Descoberta em agosto de 2024, essa ferramenta PowerShell utilizava inicialmente um método pouco comum de persistência envolvendo suplementos do Microsoft Excel. Cria um canal de comunicação criptografado para entrega do payload através da API Telegraph. Versões posteriores simplificaram a persistência usando tarefas agendadas.
  • PteroStew: Um novo downloader VBScript de uso geral descoberto em outubro de 2024, semelhante a downloaders conhecidos anteriormente (por exemplo, PteroSand, PteroRisk), mas que armazena seu código em fluxos alternativos de dados associados a arquivos benignos no sistema da vítima.
  • PteroQuark: Outro downloader VBScript descoberto em outubro de 2024, introduzido como um novo componente na versão VBScript do weaponizer PteroLNK.
  • PteroBox: Um ladrão de arquivos PowerShell descoberto em novembro de 2024, semelhante ao PteroPSDoor, mas que extrai os arquivos roubados para o Dropbox. Aproveita assinaturas de eventos WMI para detectar novas unidades USB inseridas e extrair arquivos selecionados usando a API do Dropbox. Os arquivos roubados são cuidadosamente monitorados para evitar uploads redundantes, destacando a atenção crescente do Gamaredon ao sigilo e eficácia.

Principais atualizações das ferramentas existentes em 2024

Além das novas ferramentas, os operadores do Gamaredon atualizaram significativamente as ferramentas já existentes em seu arsenal:

  • PteroPSDoor: Uma atualização significativa introduziu técnicas avançadas de ocultação, como monitorar alterações em arquivos por meio do objeto IO.FileSystemWatcher em vez de escanear continuamente diretórios, reduzindo significativamente a visibilidade. Implementou assinaturas de eventos WMI para detectar inserções USB recentes, tornando a exfiltração de arquivos mais específica e sigilosa. Além disso, as versões mais recentes armazenam o código exclusivamente em chaves de registro, complicando ainda mais a detecção.
  • PteroLNK (versão VBScript): Essa ferramenta foi aprimorada no início de 2024 para transformar em armas não apenas unidades USB, mas também unidades de rede mapeadas, ampliando suas capacidades de movimentação lateral. Ao longo do segundo semestre de 2024, recebeu diversas atualizações incrementais, incluindo ofuscação aprimorada, métodos mais complexos de criação de arquivos LNK e técnicas baseadas em registro para ocultar arquivos e extensões das vítimas. Tornou-se uma das ferramentas mais atualizadas e ativamente mantidas do Gamaredon.
  • PteroVDoor: Esse ladrão de arquivos VBScript continuou sendo usado em duas variantes (ofuscado e não ofuscado). Durante 2024, os operadores do Gamaredon atualizaram repetidamente a ferramenta, introduzindo novas plataformas externas, como repositórios do Codeberg, para distribuir dinamicamente informações dos servidores de comando e controle (C&C), complicando as medidas defensivas.
  • PteroPSLoad: Gamaredon voltou a utilizar túneis Cloudflare em vez de ngrok para sua infraestrutura de C&C. Isso marcou o início do Gamaredon ocultando quase toda sua infraestrutura C&C atrás de domínios gerados pelo Cloudflare, aprimorando significativamente sua segurança operacional.

Payloads incomuns: Propaganda russa por meio de malware?

Uma descoberta particularmente intrigante foi em julho de 2024, quando foi identificado um payload VBScript único e ad hoc, entregue por downloaders do Gamaredon. Esse payload não tinha função de espionagem, mas seu único propósito era abrir automaticamente um canal de propaganda no Telegram chamado Guardians of Odessa, que difunde mensagens pró-Rússia direcionadas à região de Odessa. Apesar de incomum para as operações típicas do Gamaredon, atribuímos esse payload ao grupo com alta confiança.

Infraestrutura de rede e técnicas de evasão

Durante 2024, o Gamaredon demonstrou uma dedicação constante em evadir defesas baseadas na rede:

  • O grupo continuou, embora em menor escala, utilizando técnicas de DNS fast-flux, rotacionando frequentemente os endereços IP por trás de seus domínios. No entanto, o número de domínios registrados caiu significativamente, passando de mais de 500 em 2023 para cerca de 200 em 2024.
  • Gamaredon dependeu cada vez mais de serviços de terceiros como Telegram, Telegraph, Codeberg e túneis Cloudflare para ofuscar e distribuir dinamicamente sua infraestrutura C&C. Os subdomínios gerados pelo Cloudflare tornaram-se os principais pontos de comunicação do grupo, enquanto os domínios tradicionais ficaram em segundo plano.
  • Diversos serviços de DNS-over-HTTPS (Google e Cloudflare) e sites de resolução de terceiros (como nslookup.io, who.is, dnswatch.info e check-host.net) foram regularmente usados para contornar bloqueios baseados em domínios.
  • Gamaredon também introduziu novas técnicas, como colocar arquivos HTA e VBScript embutidos em diretórios temporários e executá-los separadamente para resolver domínios de C&C, complicando ainda mais os esforços de detecção automática.

Apesar das limitações de capacidade observáveis e do abandono de ferramentas antigas, Gamaredon permanece como um grupo significativo devido à contínua inovação, suas campanhas agressivas de spearphishing e esforços persistentes para evitar detecções. Enquanto a guerra da Rússia contra a Ucrânia continuar, esperamos que Gamaredon evolua constantemente suas táticas e intensifique suas operações de ciberespionagem contra instituições ucranianas.

Para um detalhamento técnico completo das atividades, atualizações e análises de malware do Gamaredon em 2024, confira o nosso relatório técnico completo.

Uma lista completa de indicadores de comprometimento (IoC) pode ser encontrada em nosso repositório GitHub e no relatório técnico sobre o Gamaredon.