A campanha atribuída ao UAC-0184 mira entidades militares e governamentais da Ucrânia com arquivos ZIP maliciosos, atalhos LNK disfarçados de documentos e implantação furtiva do Remcos RAT.
| Componente | Campanha do UAC-0184, também rastreado como Hive0156, usando Viber, arquivos ZIP, atalhos LNK, Hijack Loader e Remcos RAT contra entidades militares e governamentais ucranianas. |
| Vetor | Mensagens no Viber entregam arquivos ZIP maliciosos com atalhos LNK mascarados como documentos do Microsoft Word e Excel; ao serem abertos, os atalhos exibem um documento isca e acionam a cadeia de carregamento em segundo plano. |
| Impacto | A cadeia reconstrói e executa o Hijack Loader em memória, estabelece persistência por tarefas agendadas e pode implantar o Remcos RAT para gerenciamento remoto, execução de cargas, monitoramento de atividades e roubo de dados. |
| Prioridade | Bloquear entrega e execução de LNK recebidos por mensageria, revisar tarefas agendadas suspeitas, caçar carregamento em memória e isolar endpoints com sinais de Hijack Loader ou Remcos RAT. |
| Artefatos | ZIP inicial distribuído via Viber, atalhos LNK, segundo arquivo smoothieks.zip, uso de script PowerShell sem comando operacional divulgado, chime.exe como processo de injeção e verificação de produtos de segurança por hashes CRC32. |
| Técnicas | Uso de documento isca, DLL side-loading, module stomping, evasão de assinaturas estáticas, enumeração de ferramentas de segurança e persistência por tarefas agendadas. |
O UAC-0184, ator alinhado à Rússia e também identificado como Hive0156, foi observado em uma campanha contra organizações militares e governamentais da Ucrânia usando o Viber como canal inicial de entrega. A atividade mantém o foco de coleta de inteligência contra alvos ucranianos e amplia uma linha operacional já associada a temas de guerra, phishing e abuso de aplicativos de mensagem. O ponto relevante para defesa é a mudança do meio de entrega: em vez de depender apenas de e-mail, a cadeia usa uma plataforma de comunicação interpessoal para aumentar a chance de interação do destinatário com arquivos compactados recebidos fora dos controles tradicionais de gateway de correio.
A carga inicial chega como arquivo ZIP contendo múltiplos atalhos do Windows no formato LNK, apresentados como se fossem documentos oficiais do Microsoft Word ou Excel. Ao abrir o atalho, a vítima recebe um documento isca para reduzir suspeitas, enquanto a execução real ocorre em segundo plano. O fluxo baixa um segundo ZIP chamado smoothieks.zip a partir de servidor remoto por meio de um script PowerShell e, em seguida, reconstrói o Hijack Loader em memória. O loader prepara o ambiente, tenta contornar detecção e termina com a execução furtiva do Remcos RAT, ferramenta de administração remota frequentemente abusada em espionagem e roubo de dados.
A cadeia começa com engenharia social por Viber e entrega de ZIP malicioso para usuários em órgãos militares ou governamentais ucranianos. Dentro do pacote, arquivos LNK usam aparência de documentos do Office para induzir abertura manual. Esse detalhe é importante porque o atalho não é apenas um ponteiro para um arquivo local: ele funciona como um acionador de execução. O documento isca mantém a interação visual coerente para a vítima, enquanto a lógica oculta inicia uma etapa PowerShell cujo conteúdo operacional não deve ser reproduzido, mas cuja função descrita é recuperar um segundo ZIP remoto e iniciar a montagem do loader.
Depois da recuperação do smoothieks.zip, o Hijack Loader é reconstruído e implantado em memória por um processo de múltiplas etapas. A campanha utiliza DLL side-loading e module stomping, duas técnicas voltadas a mascarar a execução sob componentes aparentemente legítimos ou a alterar regiões de código em módulos carregados. Esse desenho reduz a dependência de artefatos estáticos em disco e dificulta detecção baseada somente em assinaturas de arquivo. O loader também consulta o ambiente em busca de produtos de segurança associados a Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot e Microsoft, calculando hashes CRC32 relacionados aos programas correspondentes.
A persistência é estabelecida por tarefas agendadas, o que dá ao operador uma forma de reativar componentes sem depender da sessão inicial. Antes de iniciar a etapa final, o loader realiza ações para reduzir a exposição a detecções estáticas. O Remcos RAT é então executado de modo encoberto por injeção em chime.exe. A presença do Remcos amplia o impacto potencial porque a ferramenta fornece controle remoto interativo e automatizado, execução de novas cargas, observação de atividades no host e capacidade de coleta de dados. O material analisado sustenta essas capacidades como parte do malware implantado, mas não detalha quais dados foram efetivamente exfiltrados em cada vítima.
A superfície principal envolve usuários de entidades militares e governamentais da Ucrânia que recebem arquivos por mensageria, especialmente quando controles de segurança estão concentrados em e-mail, proxy web e endpoint, mas não em fluxos de colaboração fora dos canais corporativos. O uso do Viber cria uma zona de risco porque o arquivo pode chegar por uma conversa percebida como legítima, com menos metadados corporativos disponíveis para análise centralizada. Ambientes Windows são o alvo técnico indicado pela presença de atalhos LNK, tarefas agendadas, PowerShell, DLL side-loading e injeção em processo.
A exposição também alcança equipes que permitem abertura de arquivos compactados recebidos por mensageiros em estáções administrativas ou máquinas com acesso a documentos sensíveis. A campanha não depende, pelo material analisado, de uma vulnerabilidade de software específica ou de exploração sem clique; ela depende da interação do usuário com o arquivo e da permissão local para executar a cadeia acionada pelo LNK. Isso coloca controles de execução, política de anexos, restrição de scripts e visibilidade de endpoint no centro da resposta defensiva.
- Usuários Windows que recebem ZIP por Viber e abrem atalhos LNK disfarçados de documentos Word ou Excel.
- Estáções de entidades militares e governamentais ucranianas com permissão para execução de scripts e criação de tarefas agendadas.
- Ambientes onde mensageria externa não passa por inspeção equivalente à aplicada a e-mail corporativo.
- Endpoints nos quais a criação de processos, carregamento de DLL e injeção em
chime.exenão geram alerta de alta severidade.
A caça deve correlacionar a chegada de arquivos compactados por aplicativos de mensagem com execução de LNK, invocação de PowerShell e criação de processos incomuns na sequência imediata. O objetivo não é procurar apenas um nome de arquivo específico, mas identificar o padrão: arquivo ZIP recebido por canal de mensageria, atalho com aparência de documento, documento isca aberto e execução paralela de componentes de carregamento. A presença do nome smoothieks.zip é um artefato útil, mas a defesa não deve depender exclusivamente dele, pois operadores podem alterar nomes sem mudar a lógica da cadeia.
No endpoint, sinais relevantes incluem tarefas agendadas criadas por usuários que não administram sistemas, processos do Office ou do shell iniciando intérpretes de script, carregamento de DLL a partir de diretórios incomuns, alterações de memória compatíveis com module stomping e execução de Remcos RAT injetado em chime.exe. Também é útil monitorar tentativas de enumeração de produtos de segurança, especialmente quando um processo recém-criado calcula ou compara valores CRC32 ligados a softwares de proteção. Em rede, a telemetria deve priorizar conexões saindo logo após abertura de anexos de mensageria, com atenção a downloads de ZIP e comunicação subsequente de ferramenta de acesso remoto.
- Execução de LNK a partir de diretórios temporários, pastas de download ou caminhos usados por clientes de mensageria.
- PowerShell iniciado por atalho ou shell gráfico após abertura de arquivo compactado, com download remoto de outro ZIP como efeito observado.
- Criação de tarefas agendadas logo após interação do usuário com suposto documento Word ou Excel.
- Carregamento lateral de DLL, alteração de módulos em memória e injeção de código envolvendo
chime.exe. - Sinais de Remcos RAT, incluindo controle remoto, execução de cargas adicionais, monitoramento de atividade e tentativa de coleta de dados.
A resposta defensiva deve começar pelo bloqueio do caminho de entrada. Organizações expostas a esse perfil de ameaça precisam tratar anexos recebidos por mensageria com a mesma severidade aplicada a anexos de e-mail: quarentena de ZIP, bloqueio ou inspeção de LNK, análise em sandbox e orientação para que documentos oficiais circulem por canais autenticados. Em endpoints Windows, políticas de redução de superfície de ataque devem impedir que atalhos e documentos acionem scripts sem necessidade operacional, além de registrar de forma detalhada criação de processos filhos e downloads iniciados por componentes do shell.
Para máquinas com indícios da cadeia, a contenção exige isolamento do endpoint, preservação de artefatos de memória e revisão de tarefas agendadas antes de qualquer limpeza apressada. A equipe deve remover persistência, validar se há Remcos RAT ou Hijack Loader residente, revisar conexões externas associadas ao período de abertura do arquivo e verificar se credenciais do usuário afetado foram usadas em outros sistemas. Como a campanha mira inteligência militar e governamental, a análise deve incluir contas, documentos acessados e recursos de rede alcançáveis a partir do host, mantendo a conclusão limitada às evidências coletadas.
- Bloquear ou submeter a sandbox arquivos LNK e ZIP recebidos por Viber e outros aplicativos de mensagem usados em ambiente sensível.
- Aplicar políticas que restrinjam execução de PowerShell iniciada por atalhos, shell gráfico ou documentos não confiáveis.
- Monitorar e revisar tarefas agendadas criadas fora de janelas administrativas aprovadas.
- Isolar endpoints com suspeita de Hijack Loader ou Remcos RAT e preservar memória, árvore de processos e histórico de rede.
- Revisar telemetria de acesso remoto, execução de cargas adicionais e possível coleta de dados sem assumir exfiltração além do que os logs confirmarem.
0 Comentários