Campanha contra o Kassa Nova combinou macros ofuscadas, execução via XSL, carregador assinado e beacon Cobalt Strike com tráfego disfarçado de Office 365.
| Componente | Documento Word malicioso associado ao Kassa Nova Bank, cadeia VBA/XSL, carregador assinado e beacon Cobalt Strike. |
| Vetor | Arquivo hospedado no repositório de documentos do banco e apresentado com logotipo legítimo; a execução dependia de o usuário abrir o documento e habilitar macros. |
| Impacto | Instalação de um beacon Cobalt Strike para estabelecer presença inicial dentro do ambiente-alvo, com comunicação posterior para infraestrutura remota e tráfego moldado para se parecer com Office 365 Outlook Calendar. |
| Prioridade | Remover documentos suspeitos de repositórios públicos, bloquear macros não confiáveis, investigar uso de WMIC com XSL, revisar artefatos assinados inesperados e caçar comunicação defangada com myovs[.]de e 185.61.149[.]186. |
| Artefatos | Macro Document_Open, arquivo XSL gravado em C:\Windows\Temp\aA3jY9HP.xsl, payload file.exe, certificado válido emitido pela Sectigo e referência de depuração BATLE_SOURCE em amostras relacionadas. |
| Atribuição | A sobreposição de TTPs, alvo financeiro na Ásia Central, lógica de carregadores, uso de Cobalt Strike e trilhas de compilação compatíveis sustentam associação de alta confiança com operações do Cobalt Group. |
Uma campanha atribuída ao Cobalt Group voltou a atingir o setor financeiro do Cazaquistão usando uma cadeia de infecção cuidadosamente ajustada para reduzir suspeitas no primeiro contato com a vítima. O ponto inicial observado foi um documento malicioso ligado ao Kassa Nova Bank, instituição que oferece serviços financeiros ao público e a pequenas empresas. O arquivo estava hospedado entre documentos do próprio banco, o que elevava a credibilidade do isco: para um usuário, um documento baixado de um repositório oficial tende a parecer menos arriscado do que um anexo enviado por remetente desconhecido. Essa escolha operacional mostra uma combinação de comprometimento de infraestrutura legítima com engenharia social, em vez de depender apenas de e-mail ou de domínios recém-criados.
O documento exibia uma mensagem em russo pedindo que o usuário habilitasse conteúdo ativo, além de usar o logotipo do Kassa Nova no corpo do arquivo. A cadeia só avançava quando a vítima permitia a execução das macros. Depois disso, a macro acionada automaticamente preparava um arquivo XSL no disco local e abusava de um utilitário legítimo do Windows para executar código script. O estágio seguinte baixava um executável remoto, que por sua vez recuperava e descriptografava um beacon Cobalt Strike. O objetivo técnico confirmado era obter uma posição inicial no ambiente da organização-alvo, criando um canal de comando e controle por meio de uma ferramenta amplamente usada em testes de intrusão, mas também reaproveitada por grupos criminosos.
O caso é relevante porque combina vários elementos que dificultam a detecção por controles isolados: documento aparentemente legítimo, macro ofuscada, execução por binário nativo do sistema, carregador assinado com certificado válido, infraestrutura de terceiros comprometida e perfil de comunicação configurado para imitar tráfego legítimo. A campanha também foi associada a operações anteriores do Cobalt Group por meio de semelhanças no alvo, nos procedimentos, na lógica de carregamento e em artefatos de compilação encontrados em amostras relacionadas. Mesmo após a prisão de uma liderança do grupo em 2018, a atividade técnica observada indica continuidade operacional contra bancos da Europa Oriental e da Ásia Central.
A cadeia começava no documento Word malicioso. Ao abrir o arquivo, a vítima via um conteúdo de distração em russo e uma solicitação para habilitar macros. A função Document_Open era executada automaticamente depois dessa autorização, sem exigir interação adicional dentro do documento. O código VBA estava fortemente ofuscado: nomes de variáveis pareciam aleatórios e comentários foram preenchidos com combinações sem sentido. Essa ofuscação não muda a função principal da macro, mas aumenta o custo de análise estática e reduz a chance de detecção por assinaturas simples baseadas em strings.
A macro escrevia um arquivo XSL em C:\Windows\Temp\aA3jY9HP.xsl e o acionava por uma técnica conhecida como SquiblyTwo. Essa técnica abusa do WMIC, componente legítimo do Windows, para invocar JScript ou VBScript contido em um arquivo XSL. Em termos defensivos, o ponto crítico não é o comando específico, que deve ser tratado como artefato operacional sensível, mas o comportamento: um documento Office cria um XSL temporário, chama uma ferramenta administrativa nativa e inicia código script fora do processo esperado do Word. Essa sequência é um sinal forte para correlação em EDR, Sysmon, logs de criação de processo e telemetria de AMSI quando disponível.
O JScript no XSL baixava o próximo estágio de um servidor remoto e executava o binário obtido, removendo depois o arquivo XSL para reduzir rastros no disco. O domínio myovs[.]de, usado para hospedar o próximo estágio, pertencia a uma empresa alemã de mídia jurídica e corporativa, o que indica comprometimento prévio de infraestrutura legítima para distribuição do payload. Essa tática reduz a eficácia de filtros baseados apenas em reputação de domínio novo e exige análise comportamental, inspeção de cadeia de execução e inventário de arquivos servidos por sites confiáveis comprometidos.
O executável baixado, nomeado como file.exe, estava assinado com um certificado válido emitido pela Sectigo. A assinatura não torna o arquivo benigno, mas pode influenciar decisões de confiança em alguns controles de segurança e em revisões manuais apressadas. Esse binário se comunicava com 185.61.149[.]186/rpc para baixar e descriptografar um beacon Cobalt Strike. Em seguida, o beacon usava uma URL no mesmo endereço IP com padrões de requisição semelhantes aos gerados ao visualizar o calendário do Outlook no Office 365. A semelhança com tráfego corporativo comum vinha de um perfil maleável de C2, uma configuração que molda cabeçalhos, caminhos e formato de comunicação para parecer compatível com serviços legítimos.
A superfície diretamente exposta envolve usuários que baixaram e abriram o documento malicioso hospedado no repositório do Kassa Nova e que habilitaram macros no Word. A execução dependia dessa condição, mas o uso de marca visual do banco e de hospedagem em site legítimo aumentava a probabilidade de autorização pelo usuário. Ambientes com macros amplamente permitidas, ausência de políticas de bloqueio para documentos originados da internet e pouca visibilidade de processos filho do Office teriam maior exposição à cadeia.
A campanha também expõe uma superfície de terceiros: sites legítimos comprometidos usados como repositórios de payloads. O uso de myovs[.]de como ponto de distribuição demonstra que a defesa não deve confiar apenas na origem aparente do download. Em redes financeiras, controles de saída precisam considerar que domínios previamente confiáveis podem servir estágios maliciosos temporariamente, e que o encadeamento entre Word, WMIC, script XSL e executável assinado deve ser mais importante do que a reputação histórica isolada do domínio.
A atribuição técnica se apoiou em relação com carregadores Cobalt Strike semelhantes. Amostras relacionadas usavam lógica parecida para extrair shellcode do próximo estágio, incluindo dependência de mês ou ano como deslocamento de decodificação. Caso o período esperado não coincidisse, a etapa seguinte não seria decodificada corretamente. Esse desenho limita análise fora da janela operacional e pode quebrar execução em sandboxes configuradas com datas diferentes. Um artefato adicional foi o nome de projeto BATLE_SOURCE em informações de depuração, compatível com caminhos vistos em carregadores antigos associados ao Cobalt Group desde 2016.
Além da campanha principal, documentos com macros e XSL quase idênticos foram encontrados em amostras que entregavam trojans bancários como Dridex, IcedID e Ursnif. A divergência de payloads sugere uso de um construtor de macros comercializado em fóruns criminais, e não necessariamente uma operação única controlada pelo mesmo ator em todos os casos. Para defesa, isso significa que a macro e o XSL devem ser tratados como família de entrega reutilizável, enquanto a atribuição do incidente específico depende do conjunto completo de alvo, carregador, Cobalt Strike, infraestrutura, histórico e artefatos de compilação.
- Usuários que abriram o documento do Kassa Nova e habilitaram macros ficaram no caminho de execução principal.
- Ambientes Windows com Word, macros permissivas e execução de WMIC sem restrição oferecem as condições necessárias para a cadeia avançar.
- Controles que aceitam assinatura digital como critério forte de confiança podem falhar diante do carregador assinado.
- Infraestrutura legítima comprometida, como site corporativo de terceiro, amplia a superfície de distribuição sem exigir domínio recém-registrado.
- Instituições financeiras da Ásia Central e da Europa Oriental aparecem como alvo coerente com o histórico operacional do Cobalt Group.
A investigação defensiva deve começar pela relação entre documentos Office e processos filhos incomuns. Uma cadeia em que Word cria arquivo XSL em diretório temporário, aciona WMIC e depois inicia um executável baixado é anômala para fluxo administrativo comum. Em endpoints, procure criação de C:\Windows\Temp\aA3jY9HP.xsl ou de arquivos XSL com nomes aleatórios, execução de WMIC iniciada por processo do Office, exclusão rápida do arquivo XSL e novos executáveis gravados logo após conexão HTTP externa. A ausência do nome exato do arquivo não elimina o risco, porque construtores de macro podem variar nomes e comentários mantendo a lógica.
Em rede, a telemetria deve focar padrões de saída para myovs[.]de e 185.61.149[.]186, ambos defangados aqui por segurança, além de requisições que tentem se passar por tráfego do Office 365 Outlook Calendar fora dos padrões esperados do ambiente. A similaridade superficial com serviços Microsoft não deve bastar para liberar a conexão. Compare destino, SNI quando houver, cabeçalhos, caminhos, método, tamanho de resposta, periodicidade, processo originador e reputação contextual do host. Um beacon Cobalt Strike tende a produzir cadência e estrutura de comunicação mais regulares do que uma sessão real de calendário iniciada por um navegador ou cliente corporativo legítimo.
Para análise de arquivos, preserve amostras em ambiente controlado e extraia metadados sem executar o conteúdo. Em executáveis PE, Rich Headers, certificados, informações de depuração e nomes de projeto podem conectar carregadores aparentemente distintos. A presença de BATLE_SOURCE em caminho de PDB é um pivô técnico útil, mas não deve ser usado isoladamente para atribuição; ele ganha valor quando combinado com alvo bancário, Cobalt Strike, lógica de decodificação por data e técnicas de entrega. Em documentos, compare grafo de chamadas VBA, estrutura da macro, formato do XSL e comentários, pois nomes aleatórios podem mascarar a reutilização do mesmo construtor.
- Processo do Word criando arquivo XSL em diretório temporário e chamando WMIC em seguida.
- Arquivo XSL removido logo após executar código script ou iniciar download de estágio adicional.
- Conexão para
myovs[.]deou para185.61.149[.]186, sempre tratada internamente como indicador defangado e validada contra logs históricos. - Executável assinado inesperado baixado após abertura de documento Office, especialmente com nome genérico como
file.exe. - Padrões de requisição que imitam Outlook Calendar, mas partem de processo ou host sem perfil legítimo para esse tráfego.
- Metadados PE com referência
BATLE_SOURCEou Rich Headers semelhantes aos de carregadores Cobalt Strike associados ao caso.
A contenção imediata deve remover documentos suspeitos de repositórios públicos e internos, bloquear downloads do domínio comprometido citado quando ainda houver evidência operacional e isolar endpoints que executaram a cadeia. Para hosts com alerta de macro, WMIC ou conexão ao endereço IP indicado, a resposta deve incluir coleta de memória, preservação de artefatos Office, revisão de processos recentes, busca por executáveis recém-criados e verificação de persistência. O fato de a cadeia usar Cobalt Strike aumenta a urgência porque o beacon oferece ao operador uma base para execução remota de tarefas, reconhecimento e movimentação posterior, embora cada impacto precise ser confirmado por telemetria do ambiente.
No hardening, bloqueie macros de documentos originados da internet sempre que o processo de negócio permitir, restrinja execução de conteúdo ativo em Office e aplique regras que impeçam processos Office de iniciar ferramentas administrativas como WMIC sem justificativa aprovada. Ambientes que ainda dependem de macros devem assinar internamente modelos confiáveis, registrar exceções por grupo e monitorar qualquer documento que tente criar script temporário. A validação deve incluir testes de geração de eventos, porque bloquear sem telemetria reduz a capacidade de reconstruir o incidente quando uma exceção for explorada.
Para tráfego de rede, implemente inspeção baseada em comportamento e destino real, não apenas em aparência de cabeçalhos. Perfis maleáveis de C2 são desenhados para se misturar a serviços comuns; por isso, listas de permissão para plataformas amplas precisam ser acompanhadas de controles por processo, identidade do host, frequência, volume e destino. Quando houver proxy corporativo, registre cabeçalhos relevantes, código de resposta, tamanho de corpo e relacionamento com processo de origem. Em ambientes com EDR e NDR, correlacione o evento de macro com o primeiro contato externo e com a execução do binário assinado.
A mitigação de médio prazo deve considerar a cadeia de confiança de conteúdo publicado. Repositórios de documentos em sites bancários e portais de clientes precisam de controle de integridade, revisão de alterações, alertas para arquivos Office com macro e comparação com versões aprovadas. Um atacante que pública um documento malicioso em um local legítimo transforma a própria marca da organização em mecanismo de convencimento. A equipe responsável pelo site deve manter inventário dos arquivos publicados, histórico de alterações, responsável por cada upload e varredura automatizada para macros, scripts embutidos e artefatos executáveis.
Como houve menção a atividade anterior envolvendo o Kassa Nova em dezembro de 2018, com anexo malicioso enviado a partir de endereço de funcionário e exploração de CVE-2018-15982 para instalar CobInt, a revisão histórica também é importante. Procure campanhas de e-mail em que contas confiáveis tenham enviado anexos ao setor financeiro, valide se houve comprometimento de credenciais ou caixa postal e confirme se sistemas vulneráveis à falha citada foram corrigidos. Essa etapa não deve presumir comprometimento atual, mas ajuda a identificar continuidade de TTPs e reutilização de relacionamentos de confiança entre instituições.
- Retirar do ar documentos Office suspeitos e validar a integridade do repositório público do banco.
- Isolar endpoints que abriram o arquivo e apresentaram execução de macro, criação de XSL, WMIC ou conexão ao C2 defangado.
- Bloquear macros não confiáveis e restringir processos Office de iniciar ferramentas administrativas sem necessidade operacional aprovada.
- Revisar binários assinados baixados durante a janela do incidente, incluindo cadeia de certificado, hash interno e processo pai.
- Caçar tráfego com aparência de Office 365 que não corresponda ao cliente, usuário, processo ou destino esperado.
- Auditar portais de documentos para uploads não autorizados, arquivos com macros e alterações fora do fluxo de publicação aprovado.
0 Comentários