Operação Silent Watch usa OxtaRAT para vigilância de estáções na Armênia

Campanha associada às tensões entre Azerbaijão e Armênia distribuiu um backdoor em AutoIt com persistência por tarefa agendada, comunicação C2 em texto claro, coleta de arquivos, gravação de tela e câmera e recursos de reconhecimento interno.

Componente	Backdoor OxtaRAT baseado em AutoIt, empacotado em arquivo `.scr` que se passava por documento e carregava código AutoIt oculto em `icon.png` como arquivo poliglota JPEG/A3X.
Vetor	Spear phishing com iscas ligadas a temas de Artsakh/Nagorno-Karabakh, incluindo arquivo `Israeli_NGO_thanks_Artsakh_bank_for_the_support_of.scr` submetido a partir de Yerevan em 29 de novembro de 2022.
Impacto	Acesso remoto e vigilância de estáção Windows, com coleta de arquivos, enumeração local, captura de tela, gravação de webcam, execução de binários e AutoIt, arquivamento RAR, teste de velocidade e reconhecimento TCP interno.
Prioridade	Conter estáções que executaram anexos `.scr`, revisar persistência por tarefa `WallPaperChangeApp`, procurar diretórios ocultos em `%appdata%\Autoit3\` e bloquear comunicação com domínios C2 defangados associados.
Artefatos	Uso de `AutoIT.exe`, `exec.bat`, `Alexander_Lapshin.EXE`, `icon.png`, `curl`, `pscclient.exe`, `AppCrashCollector.exe` e comandos C2 separados por caractere `\|`.
IoCs	Exemplos defangados incluem `edupoliceam[.]info`, `filesindrive[.]info`, `mediacloud[.]space`, `avvpassport[.]info`, `shoesbuysellone[.]live`, `filecloudservices[.]xyz`, `smartappsfoursix[.]xyz` e `38.242.197[.]156`.

Resumo técnico

A Operação Silent Watch descreve uma campanha de espionagem direcionada a entidades na Armênia durante o agravamento das tensões em torno do corredor de Lachin no fim de 2022. A cadeia observada usou uma isca política e humanitária para induzir a execução de um arquivo .scr com ícone de PDF, mas o conteúdo real era um arquivo autoextraível que instalava e executava o OxtaRAT, um backdoor escrito em AutoIt. A atividade se encaixa em um histórico mais amplo de campanhas que exploraram temas de Artsakh e Nagorno-Karabakh contra alvos armênios, ativistas políticos e defensores de direitos humanos ligados ao Azerbaijão.

O OxtaRAT não se limita a acesso remoto básico. A versão mais recente analisada contém cerca de 20 mil linhas de código AutoIt ofuscado e concentra funções de vigilância de estáção, enumeração de arquivos, execução de componentes auxiliares, coleta de dados e comunicação C2. A mudança mais relevante em relação a campanhas anteriores é que o instalador .scr deixou de atuar apenas como downloader e passou a carregar o backdoor diretamente, oculto em icon.png como arquivo poliglota válido para JPEG e AutoIt A3X. Essa decisão reduz a necessidade de baixar o malware principal no início da infecção e diminui a exposição do operador em sandboxes, proxies e controles que monitoram binários recém-obtidos da internet.

Fluxo técnico

A infecção começa com um arquivo chamado Israeli_NGO_thanks_Artsakh_bank_for_the_support_of.scr, submetido ao VirusTotal em 29 de novembro de 2022 a partir de um endereço IP localizado em Yerevan. O arquivo se apresenta visualmente como PDF, mas funciona como arquivo autoextraível. Ao ser executado, grava conteúdo na pasta temporária do sistema e aciona outro pacote autoextraível chamado Alexander_Lapshin.EXE. Em seguida, arquivos auxiliares são colocados no sistema e um script exec.bat abre um PDF de isca sobre Alexander Lapshin, enquanto a instalação real ocorre em segundo plano.

O script copia o interpretador AutoIt e componentes auxiliares para %appdata%\Autoit3\, depois usa o interpretador para executar o código malicioso escondido em icon.png. O backdoor cria uma pasta base, move o arquivo de imagem para esse local e registra persistência por tarefa agendada chamada WallPaperChangeApp, configurada para acionar o AutoIt a cada dois minutos. O malware também cria uma pasta de trabalho para resultados e logs de comandos, marcando diretórios com atributos oculto e de sistema para reduzir a chance de descoberta por usuários e verificações superficiais.

Depois da preparação local, o OxtaRAT entra em um laço contínuo de comunicação com o C2. Os comandos são transmitidos em texto claro, com argumentos separados por |. Quando há saída de comando, a linha executada e o resultado são gravados em arquivos de trabalho com nomes pseudoaleatórios que terminam em -command-.txt. Algumas capacidades dependem de componentes legítimos baixados do caminho /requirement/up/bin/ no servidor, incluindo ferramentas de suporte para transferência, arquivamento, controle remoto e reconhecimento. O payload AppCrashCollector.exe não estava disponível no servidor observado, e sua entrega parecia condicionada a uma instrução específica do operador, sugerindo uso seletivo para alvos considerados mais relevantes.

Superfície afetada

A superfície primária é composta por estáções Windows de usuários que recebem e executam anexos .scr disfarçados de documentos relacionados a temas políticos, bancários ou de direitos humanos. O uso de AutoIt é relevante para a defesa porque o interpretador pode parecer uma ferramenta administrativa legítima, mas, nesse caso, é usado para executar código ofuscado, manter persistência e orquestrar módulos auxiliares. Ambientes com usuários expostos a comunicações sobre Artsakh, Nagorno-Karabakh, bancos armênios, organizações civis e temas diplomáticos ficam mais suscetíveis à engenharia social descrita.

A evolução do OxtaRAT mostra ampliação de escopo. Versões de 2021 tinham menos comandos e se concentravam em download, exfiltração, execução de código AutoIt ou binários, captura de desktop e webcam. Em 2022, novas funções passaram a coletar informações do sistema, listar arquivos da área de trabalho, pesquisar arquivos específicos, manipular arquivos ZIP, instalar TightVNC ou um servidor PHP e controlar melhor a estáção comprometida. Na versão mais recente, funções como listdir, massdownload2, massdownload2list, installrar, rarit, unrarit, speedtest e proclist indicam foco maior em coleta estruturada, empacotamento de dados e avaliação do ambiente antes de operações volumosas.

O interesse por arquivos de banco de dados amplia o impacto potencial para ambientes corporativos ou organizações com dados operacionais locais. A lista de extensões observada inclui documentos, imagens, planilhas, arquivos compactados, bancos SQLite, SQL, Microsoft Access e Oracle. Isso não confirma comprometimento de rede corporativa em todos os casos, mas mostra que o operador preparou o malware para procurar conteúdo além de documentos pessoais. A presença de pscclient.exe, um scanner TCP Connect em AutoIt, também transforma uma infecção local em possível ponto de reconhecimento ativo de outros dispositivos, com varredura de faixas de IP e portas configuradas pelo operador.

Estáções Windows que executaram arquivos .scr com ícone de documento e tema ligado a Armênia, Azerbaijão, Artsakh ou Nagorno-Karabakh.
Perfis de usuários com %appdata%\Autoit3\, interpretador AutoIt inesperado, icon.png executado como A3X e tarefa agendada WallPaperChangeApp.
Ambientes nos quais arquivos de documentos, imagens, bancos de dados locais, arquivos RDP, SQL, SQLite, Access, Oracle e compactados possam existir em diretórios acessíveis ao usuário.
Redes em que uma estáção de usuário possa alcançar outros hosts internos e iniciar reconhecimento TCP por meio de ferramenta auxiliar como pscclient.exe.

Hunting e telemetria

A investigação defensiva deve começar pela execução de arquivos .scr em diretórios de download, anexos de e-mail, pastas temporárias e caminhos de usuário. A presença de um ícone de PDF ou Word em um .scr é um sinal forte de abuso de extensão executável. Em endpoint, a correlação mais útil combina criação de processo para AutoIT.exe, gravação de arquivos em %appdata%\Autoit3\, execução de exec.bat, criação de tarefas agendadas com nome incomum e movimentação de icon.png para diretórios ocultos. O conteúdo da isca pode ter sido aberto corretamente, então a ausência de erro visual para o usuário não reduz a suspeita.

Na rede, a comunicação C2 usa comandos em texto claro e pode envolver domínios com aparência de serviços educacionais, armazenamento em nuvem, passaporte ou endpoints WordPress. Exemplos defangados incluem edupoliceam[.]info, filesindrive[.]info, mediacloud[.]space e avvpassport[.]info. Campanhas anteriores também usaram URLs com nomes como wp-feed.php e wp-comment.php, mas a versão mais recente reduziu a dependência de download inicial do malware principal. A defesa deve procurar tanto conexões diretas com domínios conhecidos quanto padrões de download de ferramentas auxiliares em caminhos semelhantes a /requirement/up/bin/.

A telemetria de host pode revelar coleta de dados antes da exfiltração. São sinais relevantes a enumeração recursiva de diretórios, abertura de muitos arquivos de tipos documentais, criação de arquivos RAR multivolume, execução de ferramentas de teste de velocidade, coleta de linhas de comando de processos via mecanismo administrativo do Windows e captura de câmera ou tela por processos encadeados ao AutoIt. Como parte da infraestrutura foi geocercada para endereços IP armênios, ambientes fora da região podem não reproduzir o fluxo completo em sandbox. Essa condição limita análises automatizadas e exige priorizar artefatos locais e telemetria histórica de endpoints reais.

Criação ou execução de WallPaperChangeApp acionando AutoIT.exe em intervalos curtos.
Diretório %appdata%\Autoit3\ criado em estáção sem uso administrativo legítimo de AutoIt.
Arquivo icon.png com comportamento de código AutoIt A3X, especialmente quando aparece junto de AutoIT.exe e scripts temporários.
Conexões para domínios C2 defangados ou para caminhos do tipo /requirement/up/bin/ usados para obter ferramentas auxiliares.
Execução de utilitários de arquivamento, teste de velocidade, VNC, servidor PHP ou scanner TCP a partir de diretórios de usuário ou de trabalho do malware.

Mitigação

A resposta deve tratar o evento como comprometimento de estáção com capacidade de vigilância e possível preparação para exfiltração. A primeira medida é isolar hosts que executaram os anexos suspeitos, preservar artefatos de disco e memória quando possível e coletar histórico de processos, tarefas agendadas, conexões de rede, arquivos criados no perfil do usuário e evidências de acesso a câmera, tela e diretórios sensíveis. A contenção deve bloquear os domínios e endereços defangados conhecidos, mas não depender apenas deles, porque a infraestrutura descrita inclui domínios com Cloudflare, geofencing e nomes que simulam serviços legítimos.

A erradicação exige remover persistência, diretórios ocultos, interpretador AutoIt implantado pelo malware, arquivos de trabalho e ferramentas auxiliares baixadas. Em paralelo, equipes de identidade e resposta devem revisar credenciais usadas no host, sessões de acesso remoto, arquivos RDP, bancos locais e documentos sensíveis que possam ter sido enumerados ou compactados. O contexto não confirma vazamento de dados para todos os alvos, portanto a avaliação deve se apoiar em evidência de acesso a arquivos, criação de arquivos de saída, tráfego de upload e registros de comandos gravados localmente.

A prevenção deve reduzir a execução de anexos .scr, reforçar políticas de controle de aplicação para AutoIt não autorizado e monitorar scripts em diretórios de usuário. Gateways de e-mail e EDR devem classificar arquivos executáveis com ícone de documento como alto risco, mesmo quando acompanhados de isca plausível. Organizações expostas a temas regionais sensíveis devem revisar treinamento de phishing com foco em anexos executáveis disfarçados e comunicações direcionadas que usam nomes de figuras públicas, bancos, organizações civis ou instituições oficiais para aumentar credibilidade.

Bloquear execução de .scr recebidos por e-mail, webmail, mensageria e diretórios de download, salvo exceções controladas e auditadas.
Criar detecção para AutoIt iniciado a partir de %appdata%, %temp% ou caminhos de usuário sem justificativa administrativa.
Procurar e remover tarefa WallPaperChangeApp, diretórios ocultos relacionados ao OxtaRAT e arquivos de saída com sufixo -command-.txt.
Revisar tráfego histórico para edupoliceam[.]info, filesindrive[.]info, mediacloud[.]space, avvpassport[.]info e 38.242.197[.]156, mantendo indicadores defangados em relatórios internos.
Validar se houve enumeração, compactação ou transferência de documentos, bancos locais, arquivos RDP, planilhas, imagens e arquivos compactados acessíveis ao usuário comprometido.

Operação Silent Watch usa OxtaRAT para vigilância de estáções na Armênia

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Operação Silent Watch usa OxtaRAT para vigilância de estáções na Armênia

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato