Campanha usa iscas em quirguiz e russo, domínios parecidos com entidades do Uzbequistão e do Quirguistão, persistência condicionada pela presença do Kaspersky AV e execução de ferramenta de varredura NetBIOS.
| Componente | Campanha do grupo IndigoZebra APT com backdoor, amostras executáveis e infraestrutura C&C associada a alvos na Ásia Central. |
| Vetor | Amostras com nomes em quirguiz e russo, domínios C&C que imitam entidades conhecidas do Uzbequistão e do Quirguistão e acesso a arquivos locais da vítima após execução do malware. |
| Impacto | O backdoor acessa arquivos da vítima, especialmente documentos no Desktop, cria pasta no Dropbox, executa ferramenta de varredura NetBIOS e estabelece persistência via chave Load do registro quando o Kaspersky AV não está instalado. |
| Prioridade | Investigar hosts com execução das amostras, conexões para domínios parecidos com entidades governamentais regionais, criação de persistência via Load e uso inesperado de ferramenta NetBIOS em estáções de usuário. |
| Artefatos | Amostra relacionada a ntbscan com SHA-1 90da10004c8f6fafdaa2cf18922670a745564f45; amostra comparada a BoxCaon com SHA-1 3557d162828baab78f2a7af36651a3f46d16c1cb. |
| IoCs | Domínios C&C defangados observados: post[.]mfa-uz[.]com e ousync[.]kginfocom[.]com; infraestrutura nova desde 2019 concentrada no ASN 20473, CHOOPA/Vultr. |
A atividade atribuída ao IndigoZebra APT aponta para uma operação direcionada contra a Ásia Central, com indícios fortes de foco em entidades ligadas ao Uzbequistão e ao Quirguistão. A campanha combina amostras nomeadas em idiomas regionais, domínios de comando e controle visualmente próximos de organizações conhecidas e um backdoor com funções voltadas a acesso a arquivos, persistência e reconhecimento interno. Os nomes de amostras em quirguiz e russo indicam tentativa de fazer o arquivo parecer relevante para o ambiente da vítima, incluindo temas políticos ou administrativos, como uma suposta recomendação ao ministro e materiais relacionados a distúrbios. Esse tipo de escolha não comprova por si só o vetor inicial, mas delimita o contexto social usado para aumentar a probabilidade de execução por usuários específicos.
A operação também apresenta sinais de infraestrutura preparada para alvos restritos. Os domínios C&C citados imitam referências conhecidas no Uzbequistão e no Quirguistão, incluindo um domínio que se passa pelo Ministério das Relações Exteriores do Uzbequistão e outro que imita uma entidade estatal quirguiz. A curta duração de muitos domínios sugere uso pontual, com menor reutilização entre alvos, reduzindo a janela de detecção por reputação e dificultando bloqueios baseados apenas em histórico. Desde 2019, a nova infraestrutura citada aparece concentrada no ASN 20473, associado à CHOOPA/Vultr, o que fornece um ponto prático para enriquecimento de telemetria, embora a presença nesse provedor não seja, isoladamente, prova de atividade maliciosa.
O fluxo observado começa com executáveis apresentados sob nomes localizados, escritos em quirguiz e russo. Após a execução, o backdoor demonstra capacidade de interagir com arquivos da vítima, com destaque para documentos localizados no Desktop. Esse detalhe é relevante para equipes de resposta porque o Desktop costuma concentrar documentos recentes, materiais recebidos por e-mail, arquivos temporários de trabalho e itens que o usuário manipula com frequência. O dado disponível confirma acesso aos arquivos, mas não sustenta afirmar exfiltração, volume de dados transferido ou destino de documentos. A investigação deve tratar esse ponto como exposição de conteúdo local ao malware e buscar evidências adicionais antes de classificar o caso como roubo de dados.
A amostra também cria uma pasta no Dropbox e emprega ofuscação por stackstrings, técnica que monta strings em tempo de execução para dificultar análise estática e extração simples de indicadores. A referência ao Dropbox indica interação com esse serviço no fluxo do backdoor, mas o contexto não permite afirmar a finalidade exata da pasta sem telemetria complementar. Para defesa, o ponto acionável é correlacionar execução do binário suspeito, criação de diretórios relacionados ao Dropbox, chamadas de rede associadas e mudanças de comportamento em endpoints que não usam Dropbox como ferramenta corporativa autorizada.
Outro elemento técnico é o download e a execução do ntbscan, uma ferramenta de varredura NetBIOS usada por diversos atores APT. A execução dessa ferramenta dentro de uma estáção ou servidor comprometido pode indicar tentativa de mapear nomes, compartilhamentos ou hosts expostos em redes Windows. O contexto não confirma movimentação lateral, credenciais capturadas ou acesso a compartilhamentos, portanto o impacto deve permanecer limitado a reconhecimento interno potencial. Mesmo assim, a presença de uma ferramenta de varredura NetBIOS em estáção de usuário é um sinal de alto valor para hunting, especialmente quando ocorre próxima da execução de amostras com nomes localizados ou conexões para domínios C&C defangados.
A lógica de persistência depende de uma checagem pela instalação do Kaspersky AV. O backdoor procura arquivos no diretório de instalação do produto e, quando o Kaspersky não está instalado, estabelece persistência pela chave Load do registro. Esse comportamento cria duas trilhas de investigação: a verificação de consultas ou enumeração de caminhos associados ao antivírus e a auditoria de persistência em locais de inicialização do perfil do usuário. A condição observada não deve ser descrita como bypass confirmado de antivírus; o fato sustentado é que o malware altera sua estratégia conforme a presença do produto e usa o registro para permanecer ativo em determinados cenários.
A superfície mais evidente envolve estáções Windows de usuários em organizações da Ásia Central, principalmente ambientes onde documentos sensíveis ficam armazenados no Desktop e onde nomes de arquivos em quirguiz ou russo teriam plausibilidade operacional. Países dos submitters no VirusTotal associados a múltiplas amostras incluem Uzbequistão e Quirguistão, o que reforça o recorte regional da campanha, mas não substitui evidência interna de comprometimento. Organizações com relações governamentais, administrativas ou diplomáticas nesses países devem tratar domínios parecidos com entidades oficiais como risco de engenharia social e de comando e controle.
A infraestrutura C&C usa domínios parecidos com referências legítimas, como post[.]mfa-uz[.]com e ousync[.]kginfocom[.]com. A técnica não depende de um domínio amplamente conhecido como malicioso; ela explora similaridade visual e contextual para parecer relacionada a instituições reais. Como muitos domínios são descritos como curtos em duração, controles baseados apenas em reputação histórica podem falhar. A superfície de detecção deve incluir resolução DNS recente, certificados, registros de proxy, SNI, conexões HTTPS para domínios recém-observados e qualquer comunicação com o ASN 20473 que coincida com execução suspeita no endpoint.
- Estáções Windows com documentos de trabalho no Desktop e execução de arquivos com nomes em quirguiz ou russo.
- Ambientes que permitem acesso de saída a domínios recém-criados ou parecidos com entidades governamentais regionais.
- Hosts com criação ou uso inesperado de pasta no Dropbox após execução de binário desconhecido.
- Endpoints sem Kaspersky AV nos quais o backdoor pode optar por persistência via chave Load do registro.
- Redes Windows onde uma ferramenta de varredura NetBIOS, como ntbscan, aparece fora de processos administrativos autorizados.
A investigação deve começar pela correlação temporal entre execução de amostras suspeitas, criação de persistência, acesso a arquivos do Desktop e conexões de rede para domínios defangados ou infraestrutura relacionada. Em EDR, são relevantes eventos de processo envolvendo executáveis com nomes em quirguiz ou russo fora de diretórios corporativos conhecidos, processos que enumeram diretórios de antivírus, criação ou alteração de entradas Load no registro e execução de ferramentas de varredura NetBIOS a partir de perfis de usuário. Em proxy e DNS, a defesa deve procurar domínios parecidos com organizações oficiais, especialmente quando criados recentemente, com baixa prevalência interna e acessados por poucos hosts.
A análise de arquivos deve priorizar os hashes fornecidos quando houver amostras no ambiente: 90da10004c8f6fafdaa2cf18922670a745564f45 para o artefato relacionado ao ntbscan e 3557d162828baab78f2a7af36651a3f46d16c1cb para a amostra comparada ao BoxCaon. A similaridade de código com BoxCaon é um indício técnico de linhagem ou reutilização, mas a resposta deve ser guiada por comportamento observado no host. Onde houver telemetria de acesso a arquivos, procure leitura em massa ou enumeração de documentos no Desktop após a execução inicial; se houver integração corporativa com Dropbox, diferencie atividades legítimas do usuário de criação automatizada por processo desconhecido.
- Execução de binários com nomes localizados em quirguiz ou russo a partir de pastas de usuário, anexos extraídos ou diretórios temporários.
- Consultas ou acessos ao diretório de instalação do Kaspersky AV seguidos de criação de persistência no registro.
- Alteração da chave Load do registro em perfis de usuário sem mudança administrativa planejada.
- Execução de ferramenta NetBIOS em estáção que não realiza administração de rede.
- Resolução DNS ou tráfego HTTP/HTTPS para
post[.]mfa-uz[.]com,ousync[.]kginfocom[.]comou domínios similares a entidades oficiais da região. - Conexões para infraestrutura no ASN 20473 próximas de eventos de execução suspeita, tratadas como sinal de enriquecimento e não como bloqueio isolado.
A resposta deve priorizar contenção de hosts com sinais combinados: execução das amostras, persistência via Load, acesso a documentos do Desktop e comunicação com C&C defangado. O isolamento do endpoint deve preservar artefatos para análise, incluindo cópia forense do executável, histórico de processos, chaves de registro, cache DNS, logs de proxy e eventos de acesso a arquivos. Como o contexto sustenta acesso local a documentos, mas não confirma exfiltração, a classificação de impacto deve depender de evidências adicionais de transferência, compressão, upload ou comunicação anômala com serviços externos.
Na camada preventiva, organizações afetadas devem endurecer execução de anexos e binários em pastas de usuário, aplicar allowlisting quando viável, monitorar persistência por chaves de inicialização do usuário e revisar políticas de saída para domínios recém-registrados ou de baixa reputação. Para ambientes que usam Dropbox legitimamente, a mitigação exige baselining de processos autorizados e alertas quando binários desconhecidos criam diretórios ou iniciam tráfego associado ao serviço. Para ambientes que não usam Dropbox, qualquer criação de pasta ou comunicação relacionada após execução de binário suspeito deve ser tratada como anomalia de alta prioridade.
A defesa de rede deve bloquear ou monitorar os domínios defangados citados e pesquisar variações parecidas com entidades oficiais do Uzbequistão e do Quirguistão. Bloqueios por ASN precisam ser aplicados com cuidado para evitar impacto em serviços legítimos hospedados no mesmo provedor; o uso mais robusto é como critério de correlação com host, domínio, horário e processo de origem. Em paralelo, equipes de segurança devem revisar detecções para varredura NetBIOS não autorizada, porque esse comportamento pode aparecer antes de tentativas de expansão dentro da rede. A limpeza só deve ser considerada concluída após remoção da persistência, eliminação dos binários, confirmação de ausência de comunicação C&C e validação de que documentos acessados não tiveram transferência confirmada por logs disponíveis.
- Isolar hosts com combinação de execução suspeita, persistência via Load e comunicação para domínios C&C defangados.
- Coletar histórico de processos, registro, DNS, proxy, eventos de arquivo e artefatos do executável antes da remediação completa.
- Remover entradas Load não autorizadas e validar reinicialização sem recriação da persistência.
- Bloquear ou monitorar
post[.]mfa-uz[.]comeousync[.]kginfocom[.]comem formato defangado nas ferramentas internas de detecção. - Criar alertas para execução de ntbscan ou varredura NetBIOS fora de servidores e estáções administrativas aprovadas.
- Revisar acessos a documentos no Desktop e procurar evidência real de transferência antes de declarar exfiltração.
0 Comentários