Documentos maliciosos atribuídos ao grupo Hades passaram a incorporar verificação de ambiente, tarefa agendada e cadeia HTA com PowerShell ofuscado para dificultar sandboxing e análise estática.
| Componente | Documentos do Microsoft Word com macros maliciosas usados como primeiro estágio por Hades em operações associadas ao Olympic Destroyer. |
| Vetor | Spear-phishing com documentos maliciosos; a cadeia depende de habilitação de macros e usa gatilhos menos comuns ligados a objetos ActiveX do Word. |
| Impacto | Execução de um dropper com anti-análise, revelação dinâmica do conteúdo, criação de tarefa agendada para HTA e tentativa de baixar um segundo estágio por PowerShell ofuscado. |
| Prioridade | Bloquear macros não confiáveis, caçar criação anômala de tarefas agendadas para HTA, revisar telemetria de PowerShell ofuscado e investigar documentos com características de obfuscação recorrentes. |
| Artefatos | Uso de HTA, VBScript, PowerShell, função de decodificação MSART8 e eventos de macro como MultiPage1_Layout, Frame1_Layout, SystemMonitor1_GotFocus, Image1_MouseMove e ImageCombo21_Change. |
| IoCs | Um domínio usado para tentativa de obtenção de estágio adicional aparece como findupdatems[.]com; a amostra recente foi enviada ao VirusTotal em 2018-10-12 a partir da Ucrânia. |
Uma nova linhagem de droppers atribuídos ao grupo Hades mostra mudança relevante no primeiro estágio usado em campanhas ligadas ao Olympic Destroyer. A atividade mantém o uso de documentos do Word com macros maliciosas, mas a amostra mais recente deixa de seguir apenas a evolução incremental observada em variantes anteriores e introduz recursos que antes apareciam no segundo estágio da cadeia. O ponto central é a combinação de anti-análise, execução atrasada, ofuscação de comandos e uso de HTA para reduzir a visibilidade em sandboxes e em análise estática convencional.
O histórico operacional associado ao Olympic Destroyer inclui o ataque contra a infraestrutura de TI dos Jogos Olímpicos de Inverno de 2018 na Coreia do Sul, no qual um malware wiper com capacidade de movimentação lateral causou interrupção temporária. A análise posterior indicou que o acesso inicial foi conduzido por spear-phishing com documentos maliciosos contra organizações associadas ao evento. A nova amostra preserva esse foco em documentos como ponto de entrada, mas altera a forma como a macro decide executar, como oculta o próximo estágio e como adia a atividade para escapar de ambientes de inspeção curta.
A cadeia começa em um documento que depende da ativação de macros. Ao contrário de amostras mais simples que recorrem a gatilhos óbvios, a família atribuída a Hades evita eventos comuns como abertura automática do documento e usa gatilhos menos usuais associados a objetos ActiveX do Word. Foram observados eventos como MultiPage1_Layout, Frame1_Layout, SystemMonitor1_GotFocus, Image1_MouseMove e ImageCombo21_Change. Esse desenho dificulta a detecção estática baseada apenas em nomes de rotinas conhecidos e também pode reduzir a eficácia de emuladores que não reproduzem integralmente interações gráficas ou eventos de componentes ActiveX.
Depois da ativação, a macro altera a aparência do documento, convertendo texto branco em preto para revelar conteúdo aparentemente legítimo ao usuário. Esse conteúdo foi retirado de um documento legítimo disponível publicamente, recurso que ajuda a reduzir suspeitas durante a interação inicial. Em paralelo, a macro executa verificações do ambiente: compara nomes de processos em execução contra ferramentas comuns de análise e valida se há pelo menos 40 processos ativos. Essa contagem é relevante porque muitos ambientes automatizados de sandbox têm número reduzido de processos, o que permite ao dropper classificar o ambiente como artificial antes de expor comportamento malicioso observável.
A amostra recente cria uma tarefa agendada para executar um arquivo HTA no período da manhã, usando um nome que simula rotina legítima de verificação em nuvem. O comando completo foi omitido por segurança, mas o efeito defensivamente relevante é a persistência temporizada de um componente comando operacional omitido no perfil do usuário. O arquivo HTA emprega VBScript para decodificar a próxima linha de comando e reutiliza técnicas de decodificação semelhantes às aplicadas na macro. Em seguida, a cadeia monta uma chamada de PowerShell fortemente ofuscada, com avaliação dinâmica de uma string baixada de um servidor remoto.
No momento da análise, o segundo estágio não pôde ser recuperado, o que limita qualquer conclusão sobre carga final, capacidade de persistência adicional, roubo de dados ou movimentação lateral nessa variante específica. O impacto confirmado está no primeiro estágio: execução condicionada, evasão de análise, agendamento de execução, uso de HTA, ofuscação de PowerShell e tentativa de contato com infraestrutura externa. Essa distinção é importante para resposta a incidentes: a ausência do payload final não reduz a criticidade do alerta, mas impede afirmar capacidades que não foram observadas.
A superfície mais exposta são estáções Windows de usuários que recebem documentos por e-mail e podem habilitar macros do Office. Ambientes com permissões permissivas para macros, execução de comando operacional omitido, criação de tarefas agendadas por usuários e uso irrestrito de PowerShell oferecem as condições necessárias para que o primeiro estágio progrida. A cadeia não exige, com base no material analisado, exploração de vulnerabilidade específica do Office; ela depende de engenharia social, execução de macro e controles locais insuficientes contra abuso de componentes administrativos nativos.
A evolução mensal dos obfuscadores de macro e dos grafos de chamada sugere uma linha de desenvolvimento contínua para os documentos atribuídos ao mesmo conjunto de operadores ou ferramentas. As variantes anteriores compartilhavam características de codificação de strings e funções de decodificação, incluindo rotinas que reduzem o valor ASCII de cada caractere por uma constante e, em alguns casos, etapas de conversão de hexadecimal antes da decodificação final. A amostra recente mantém semelhanças de estilo e codificação, mas reduz a complexidade aparente do grafo de chamadas ao mesmo tempo em que introduz recursos mais eficazes de evasão.
A atribuição histórica a Hades deve ser tratada com cautela operacional porque campanhas relacionadas ao Olympic Destroyer usaram falsos sinais para dificultar investigação. Ainda assim, os documentos do primeiro estágio oferecem uma área concreta para detecção porque carregam padrões próprios de macro, eventos de execução incomuns e rotinas de decodificação recorrentes. Para equipes defensivas, o valor não está apenas no nome do ator, mas na capacidade de identificar a técnica antes que ferramentas públicas de pós-exploração ou cargas adicionais sejam acionadas.
- Estáções Windows com Office e macros habilitadas ou permitidas por exceção.
- Contas de usuário capazes de criar tarefa agendada no próprio perfil.
- Ambientes onde comando operacional omitido e
PowerShellpodem executar sem controle granular. - Gateways de e-mail que não extraem ou analisam eventos ActiveX e macros ofuscadas.
A caça deve começar no e-mail e no endpoint. Em mensagens, procure anexos do Word recebidos por campanhas direcionadas, especialmente quando o documento aparenta conteúdo legítimo mas contém macros com eventos de execução incomuns. No endpoint, a investigação deve correlacionar abertura do documento, criação de tarefa agendada, gravação de arquivo HTA em diretório de perfil do usuário e execução de comando operacional omitido seguida por PowerShell. Essa sequência é mais útil do que um único indicador, porque os nomes e a ofuscação podem mudar entre iterações.
A telemetria de processo deve destacar linhas de comando com montagem dinâmica de strings, chamadas ocultas de PowerShell, opções de execução sem perfil, bypass de política de execução e janela oculta. O conteúdo executável completo não deve ser reproduzido em alertas operacionais compartilháveis, mas os metadados são suficientes para detecção: pai do processo, usuário, horário de execução, tarefa agendada criada, arquivo HTA acionado e tentativa de download por cliente web. Logs de DNS e proxy também devem procurar o domínio defangado findupdatems[.]com, preservando a cautela de que infraestrutura comprometida ou reaproveitada pode mudar rapidamente.
Também é útil analisar macros por grafo de chamada, porque amostras lançadas em períodos próximos tendem a compartilhar estrutura. Ferramentas de análise de VBA podem ajudar a comparar evolução de funções, nomes de eventos e rotinas de decodificação sem depender de execução dinâmica. A presença de uma função como MSART8, decodificação por subtração constante em caracteres e alteração programática da cor do texto no documento são sinais que, combinados, fortalecem a hipótese de relacionamento com essa linhagem de droppers.
- Criação de tarefa agendada que invoque comando operacional omitido a partir de caminho no perfil do usuário.
- Execução de
PowerShellofuscado logo após abertura de documento do Office. - Macros que usam eventos ActiveX incomuns em vez de gatilhos tradicionais de abertura.
- Verificações de processos com nomes de ferramentas de análise, depuração, virtualização ou captura de tráfego.
- Consulta DNS ou tentativa HTTP para domínio C2 defangado
findupdatems[.]com.
A mitigação prioritária é impedir que documentos recebidos de fontes externas executem macros sem validação. Políticas do Office devem bloquear macros provenientes da internet, restringir ActiveX quando não houver necessidade de negócio e impedir que usuários finais contornem avisos de segurança. Em ambientes onde macros são necessárias, a execução deve ser limitada a documentos assinados, locais confiáveis controlados e fluxos revisados por segurança. Essa medida reduz diretamente o vetor inicial descrito na cadeia.
No Windows, controles de aplicação devem limitar comando operacional omitido e uso interativo de PowerShell por usuários que não precisam dessas capacidades. A criação de tarefas agendadas deve gerar alerta quando ocorrer a partir de processos do Office, scripts, comando operacional omitido ou shells. O foco não é bloquear administração legítima de forma indiscriminada, mas impedir que um documento transforme componentes nativos do sistema em cadeia de entrega de payload. Regras de EDR, AppLocker, WDAC ou controles equivalentes podem ser ajustados para esse padrão.
Na resposta a um alerta, a ordem recomendada é isolar a estáção afetada, preservar artefatos de e-mail e documento, coletar árvore de processos, exportar tarefas agendadas recentes, revisar diretórios de perfil do usuário por arquivos HTA suspeitos e consultar logs de DNS, proxy e autenticação no intervalo da abertura do documento. Como o segundo estágio não foi recuperado no caso analisado, a ausência de novo payload em disco não deve encerrar a investigação. A validação deve incluir busca por conexões externas, scripts temporários, alterações de persistência e sinais de ferramentas públicas de pós-exploração.
- Bloquear macros de documentos originados da internet e exigir assinatura para exceções corporativas.
- Alertar para execução de comando operacional omitido iniciada por Office, tarefa agendada ou arquivo no perfil do usuário.
- Registrar e revisar eventos de criação de tarefas agendadas por contas comuns.
- Aplicar controle de aplicação para restringir
PowerShellofuscado, execução oculta e uso não administrativo. - Defangar e investigar indicadores externos sem acessar diretamente infraestrutura suspeita.
0 Comentários