Campanha de spear phishing mirou assessor sênior ligado a compras e políticas institucionais, usando arquivo em múltiplas camadas para instalar software de acesso remoto abusado em operações anteriores contra a Ucrânia.
| Componente | Cadeia de spear phishing com domínio judicial ucraniano falsificado, arquivo compactado em múltiplas camadas e instalador MSI do Remote Manipulator System (RMS). |
| Vetor | E-mail direcionado com tema jurídico induzindo o destinatário a baixar um arquivo hospedado no PixelDrain, seguido por abertura de ZIP, RAR, 7-Zip protegido por senha e executável disfarçado como documento PDF por dupla extensão. |
| Impacto | Instalação de software de acesso remoto capaz de controle remoto, compartilhamento de área de trabalho e transferência de arquivos, com uso provável para coleta de inteligência ou roubo financeiro. |
| Prioridade | Bloquear e investigar downloads de arquivos compactados encadeados vindos de serviços de compartilhamento, revisar execução de binários com padrão *.pdf.exe e caçar instalação não autorizada de RMS em endpoints sensíveis. |
| Alvo | Instituição financeira europeia envolvida em iniciativas regionais de desenvolvimento e reconstrução; o destinatário visado era assessor sênior jurídico e de políticas com visibilidade sobre compras, operações institucionais e mecanismos financeiros. |
| Ator | Atividade atribuída ao UAC-0050, também conhecido como DaVinci Group e designado Mercenary Akula, grupo alinhado à Rússia associado a coleta de dados, roubo financeiro e operações de informação. |
Uma operação atribuída ao UAC-0050 mirou uma instituição financeira europeia por meio de spear phishing com tema jurídico e falsificação de um domínio judicial ucraniano. O alvo direto foi um assessor sênior jurídico e de políticas ligado a compras, uma função com acesso a informações sobre processos institucionais, relações operacionais e mecanismos financeiros. Esse recorte do alvo é relevante porque a cadeia não depende de exploração técnica remota inicial; ela depende da confiança contextual em um assunto jurídico e da probabilidade de o destinatário manipular documentos recebidos nesse domínio de trabalho.
A atividade sugere expansão ou teste de alcance contra instituições fora da Ucrânia, especialmente organizações europeias envolvidas em desenvolvimento regional e reconstrução. O objetivo provável descrito para a campanha é coleta de inteligência ou roubo financeiro, mas o material analisado não confirma exfiltração concluída, movimentação lateral ou comprometimento de dados. O ponto técnico confirmado é a entrega de um payload de acesso remoto por uma cadeia de arquivos compactados e disfarce de documento, culminando na instalação do Remote Manipulator System, ferramenta legítima de administração remota abusada para persistência e controle interativo.
A cadeia começa com um e-mail de spear phishing que usa temas legais para direcionar o destinatário a um arquivo hospedado no PixelDrain. O uso de serviço público de compartilhamento de arquivos reduz a dependência de infraestrutura própria e pode dificultar controles baseados apenas em reputação, especialmente quando a organização permite acesso a plataformas de troca de documentos. O arquivo inicial é um ZIP, mas ele não contém diretamente o instalador final; ele inicia uma sequência de camadas desenhada para atrasar a análise e aumentar a chance de interação manual pelo usuário.
Dentro do ZIP há um arquivo RAR, que por sua vez contém um 7-Zip protegido por senha. A etapa final inclui um executável disfarçado como PDF por meio de dupla extensão, no padrão *.pdf.exe. Esse truque explora a familiaridade do usuário com documentos e a configuração comum de sistemas que ocultam extensões conhecidas, fazendo o arquivo parecer um anexo documental quando na prática aciona código executável. A execução resulta na implantação de um instalador MSI do Remote Manipulator System.
O RMS é um software russo de área de trabalho remota com funções de controle remoto, compartilhamento de tela e transferência de arquivos. Na campanha, o risco vem do abuso da ferramenta como acesso remoto persistente e menos ruidoso do que malware personalizado. Esse padrão se alinha a operações anteriores do UAC-0050, nas quais ferramentas legítimas de administração remota, como LiteManager, e trojans de acesso remoto, como RemcosRAT, já foram observados contra alvos ucranianos. A campanha atual mantém a lógica de acesso remoto, mas desloca o alvo para uma entidade financeira europeia ligada a iniciativas que apoiam a Ucrânia.
A superfície principal está em usuários com função jurídica, política, financeira ou de compras que recebem documentação externa e têm motivo legítimo para abrir arquivos vinculados a disputas, contratos, reconstrução, desenvolvimento regional ou processos institucionais. O risco aumenta quando esses usuários possuem visibilidade sobre decisões financeiras ou processos de procurement, pois o acesso remoto ao endpoint pode permitir observação de documentos, sessões, fluxos de aprovação e comunicações internas sem que haja, no material analisado, necessidade de exploração de vulnerabilidade em software exposto à internet.
Ambientes com permissão ampla para download de serviços de compartilhamento, execução local de instaladores MSI e baixa visibilidade sobre ferramentas de administração remota estão mais expostos. A cadeia também pressiona controles de e-mail que validam apenas anexos diretos, pois a carga inicial é recuperada por link externo e percorre múltiplos formatos de arquivo antes do executável final. A ausência de um CVE no caso reforça que a defesa precisa tratar identidade, navegação, endpoint e controle de aplicativos como partes do mesmo fluxo de risco.
- Contas e endpoints de assessores jurídicos, políticas públicas, procurement, finanças e reconstrução regional.
- Estáções Windows capazes de executar arquivo com dupla extensão e instalar pacote
MSIsem bloqueio efetivo. - Ambientes que permitem acesso irrestrito ao PixelDrain ou a serviços equivalentes de compartilhamento de arquivos.
- Organizações europeias com relação operacional, financeira ou institucional com iniciativas de apoio à Ucrânia.
A investigação deve começar por eventos de e-mail e navegação que indiquem recebimento de mensagens com tema jurídico, domínios aparentando pertencer ao Judiciário ucraniano e links para download em serviço de compartilhamento. Como o contexto não fornece domínio específico, hash ou nome de arquivo, a caça deve priorizar padrões de comportamento: acesso a PixelDrain próximo ao recebimento de e-mail direcionado, download de arquivos compactados, extrações sucessivas e execução de binário com dupla extensão a partir de diretórios de usuário, área de downloads ou pastas temporárias.
No endpoint, a telemetria mais importante é a transição entre arquivo compactado, processo de extração e instalação MSI. Deve-se correlacionar criação de arquivos ZIP, RAR e 7-Zip com processo filho executável que carrega ícone ou nome de PDF, seguido por instalação ou presença de componentes do RMS. Também é útil procurar conexões de saída e processos persistentes ligados a software de acesso remoto que não esteja inventariado, especialmente quando surgem em máquinas de usuários com funções jurídicas ou financeiras. O objetivo do hunting não é provar exfiltração sem evidência, mas identificar instalação não autorizada, acesso remoto potencial e janela de exposição.
- Recebimento de e-mail direcionado com tema jurídico e link externo para arquivo hospedado em serviço de compartilhamento.
- Download e extração encadeada de
ZIP,RARe7-Zipprotegido por senha em uma mesma sessão de usuário. - Execução de arquivo com padrão visual de PDF e extensão real executável, especialmente
*.pdf.exe. - Eventos de instalação
MSIseguidos pela presença de Remote Manipulator System em endpoint não autorizado. - Conexões de saída, serviços, tarefas ou processos persistentes associados a ferramenta de administração remota fora do inventário aprovado.
A resposta deve priorizar contenção de endpoints com instalação suspeita de RMS, preservação de artefatos e revisão da linha do tempo entre e-mail, download, extração e execução. Em paralelo, a organização deve validar se a ferramenta de acesso remoto existe no inventário aprovado; quando não houver justificativa operacional, a instalação deve ser removida, credenciais do usuário afetado devem ser revisadas e sessões autenticadas abertas durante a janela de exposição devem ser avaliadas. Como o alvo tinha função sensível em compras e política institucional, a revisão deve incluir documentos acessados, caixas de correio, autenticações recentes e possíveis alterações em regras de e-mail, sem presumir vazamento quando a telemetria não demonstrar esse evento.
Na prevenção, o controle mais efetivo combina filtragem de e-mail, inspeção de links, bloqueio de execução por reputação e política de allowlist para ferramentas de acesso remoto. Arquivos com dupla extensão devem gerar alerta de alta prioridade, principalmente quando originados de downloads externos e acompanhados de compactação em camadas. Serviços de compartilhamento não essenciais podem ser bloqueados ou colocados atrás de isolamento de navegador e análise de conteúdo. Para equipes de segurança em organizações com relação com Ucrânia, reconstrução, desenvolvimento regional ou financiamento, a campanha também justifica reforço de simulações defensivas e playbooks de triagem para mensagens jurídicas inesperadas.
- Isolar endpoints com instalação não autorizada de
RMSe preservar eventos de processo, arquivo, rede e instalaçãoMSI. - Bloquear ou submeter a análise reforçada downloads de arquivos compactados vindos de serviços de compartilhamento quando associados a e-mails externos sensíveis.
- Criar detecção para dupla extensão em executáveis, especialmente arquivos que aparentam ser PDF em pastas de usuário.
- Aplicar allowlist ou controle explícito para ferramentas de administração remota, incluindo
RMSe softwares equivalentes. - Revisar acessos, sessões e documentos manipulados por usuários jurídicos, financeiros e de procurement durante a janela de possível comprometimento.
0 Comentários