📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Introdução
Uma campanha maliciosa sofisticada e de alta resiliência foi identificada pelo Atos Threat Research Center (TRC) em março de 2026. Esta operação visa especificamente contas profissionais de alto privilégio de administradores corporativos, engenheiros de DevOps e analistas de segurança, personificando utilitários administrativos dos quais dependem para operações diárias. Ao integrar o envenenamento por Search Engine Order (SEO), uma arquitetura de distribuição de dois estágios do GitHub e uma resolução descentralizada de comando e controle (C2) baseada em blockchain, os atores de ameaças estabeleceram um mecanismo de entrega e persistência altamente resiliente.
Distribuição de criativos via GitHub Facades
A campanha utiliza uma cadeia de entrega de várias camadas projetada para evitar remoções no nível da plataforma e manter uma classificação elevada nos mecanismos de pesquisa. O ataque começa com o envenenamento de SEO em vários mecanismos de pesquisa, incluindo Bing, Yahoo, DuckDuckGo e Yandex. Isso garante que resultados maliciosos para termos de nicho de TI sejam classificados no topo dos resultados de pesquisa. Os usuários são inicialmente direcionados para um repositório principal de "fachada" do GitHub. Esses repositórios são otimizados para SEO, mas não contêm código malicioso – apenas um arquivo README com aparência profissional.
Para manter a flexibilidade operacional, o README contém um link que direciona a vítima para um segundo repositório GitHub oculto. Ele serve como o verdadeiro ponto de distribuição do malware. Ao separar a “vitrine” otimizada para SEO da conta de entrega de carga útil, os atores da ameaça podem alternar rapidamente seus repositórios de distribuição se sinalizados, enquanto a fachada primária indexada por pesquisa permanece ativa e intocada.
Representação de ferramenta estratégica e perfil de vítima
A campanha é caracterizada pelo foco na pilha administrativa. Ao distribuir instaladores MSI maliciosos disfarçados de ferramentas como PsExec, AzCopy, Sysmon, LAPS e Kusto Explorer, o adversário realiza perfis automatizados de vítimas. Esses utilitários são usados quase exclusivamente por pessoal com permissões elevadas de rede e sistema. Uma infecção bem-sucedida na estação de trabalho de um administrador pode fornecer as “chaves do reino”, o que pode facilitar o movimento lateral dentro do ambiente empresarial.
Comando e Controle Descentralizado via Ethereum
O aspecto tecnicamente mais significativo da campanha é a implementação do Dead Drop Resolving (DDR) baseado em Blockchain. Depois que o MSI malicioso é executado, o malware não alcança um domínio ou endereço IP codificado, que poderia ser facilmente colocado na lista de bloqueio. Em vez disso, o malware inicia repetidamente uma consulta em um endpoint RPC público do Ethereum (ETH).
O malware é codificado com um endereço de contrato inteligente específico na blockchain Ethereum. Ao consultar este contrato, o malware recupera dinamicamente o endereço do servidor C2 ativo. Esta técnica fornece ao adversário extrema resiliência:
Agilidade da infraestrutura: O invasor pode alternar servidores C2 globalmente simplesmente atualizando o valor armazenado no contrato blockchain.
Robustez: Enquanto os gateways Ethereum públicos estiverem acessíveis, o malware sempre poderá encontrar sua “casa”, tornando ineficazes os esforços tradicionais de remoção ou bloqueio de domínios.
Análise de pesquisa
Esta investigação fornece uma análise técnica abrangente da campanha actual, baseada na observação a longo prazo e na detonação activa num ambiente controlado. Nossa pesquisa vai além dos vetores de entrega inicial para examinar a infraestrutura sofisticada e os comportamentos pós-exploração.
Os seguintes pontos de dados representam a mecânica operacional central da campanha, incluindo:
Distribuição de malware: análise da arquitetura do repositório GitHub de dois estágios e uso de envenenamento de SEO para manipular os resultados dos mecanismos de pesquisa.
Representação de ferramentas administrativas: uma análise detalhada dos utilitários administrativos específicos que estão sendo representados para garantir o comprometimento da equipe de TI com alto privilégio.
Lógica de malware: análise de malware das cargas maliciosas do MSI, incluindo sua preparação inicial e componentes persistentes.
Infraestrutura C2 descentralizada: investigação sobre o uso de contratos inteligentes Ethereum e gateways RPC públicos pelo malware para resolver dinamicamente endereços de comando e controle (C2) ativos.
NOTA: Durante a finalização da pesquisa, identificamos um alerta preliminar da KISA&KrCERT/CC sobre a campanha deste ator de ameaça - LINK. Embora o seu relatório inicial tenha proporcionado visibilidade antecipada, a nossa investigação longitudinal confirma que a campanha continua altamente activa e sofreu uma maturação técnica significativa.
Nossa investigação confirma ainda que o malware está evoluindo, com diversas variantes distintas e infraestrutura C2 adicional identificada desde o início da campanha.
Descubra as mais recentes informações sobre ameaças e pesquisas de adversários nos blogs do Atos Cyber Shield.
Distribuição de malware
A visualização abaixo demonstra o di de estágio duplo
Uma campanha maliciosa sofisticada e de alta resiliência foi identificada pelo Atos Threat Research Center (TRC) em março de 2026. Esta operação visa especificamente contas profissionais de alto privilégio de administradores corporativos, engenheiros de DevOps e analistas de segurança, personificando utilitários administrativos dos quais dependem para operações diárias. Ao integrar o envenenamento por Search Engine Order (SEO), uma arquitetura de distribuição de dois estágios do GitHub e uma resolução descentralizada de comando e controle (C2) baseada em blockchain, os atores de ameaças estabeleceram um mecanismo de entrega e persistência altamente resiliente.
Distribuição de criativos via GitHub Facades
A campanha utiliza uma cadeia de entrega de várias camadas projetada para evitar remoções no nível da plataforma e manter uma classificação elevada nos mecanismos de pesquisa. O ataque começa com o envenenamento de SEO em vários mecanismos de pesquisa, incluindo Bing, Yahoo, DuckDuckGo e Yandex. Isso garante que resultados maliciosos para termos de nicho de TI sejam classificados no topo dos resultados de pesquisa. Os usuários são inicialmente direcionados para um repositório principal de "fachada" do GitHub. Esses repositórios são otimizados para SEO, mas não contêm código malicioso – apenas um arquivo README com aparência profissional.
Para manter a flexibilidade operacional, o README contém um link que direciona a vítima para um segundo repositório GitHub oculto. Ele serve como o verdadeiro ponto de distribuição do malware. Ao separar a “vitrine” otimizada para SEO da conta de entrega de carga útil, os atores da ameaça podem alternar rapidamente seus repositórios de distribuição se sinalizados, enquanto a fachada primária indexada por pesquisa permanece ativa e intocada.
Representação de ferramenta estratégica e perfil de vítima
A campanha é caracterizada pelo foco na pilha administrativa. Ao distribuir instaladores MSI maliciosos disfarçados de ferramentas como PsExec, AzCopy, Sysmon, LAPS e Kusto Explorer, o adversário realiza perfis automatizados de vítimas. Esses utilitários são usados quase exclusivamente por pessoal com permissões elevadas de rede e sistema. Uma infecção bem-sucedida na estação de trabalho de um administrador pode fornecer as “chaves do reino”, o que pode facilitar o movimento lateral dentro do ambiente empresarial.
Comando e Controle Descentralizado via Ethereum
O aspecto tecnicamente mais significativo da campanha é a implementação do Dead Drop Resolving (DDR) baseado em Blockchain. Depois que o MSI malicioso é executado, o malware não alcança um domínio ou endereço IP codificado, que poderia ser facilmente colocado na lista de bloqueio. Em vez disso, o malware inicia repetidamente uma consulta em um endpoint RPC público do Ethereum (ETH).
O malware é codificado com um endereço de contrato inteligente específico na blockchain Ethereum. Ao consultar este contrato, o malware recupera dinamicamente o endereço do servidor C2 ativo. Esta técnica fornece ao adversário extrema resiliência:
Agilidade da infraestrutura: O invasor pode alternar servidores C2 globalmente simplesmente atualizando o valor armazenado no contrato blockchain.
Robustez: Enquanto os gateways Ethereum públicos estiverem acessíveis, o malware sempre poderá encontrar sua “casa”, tornando ineficazes os esforços tradicionais de remoção ou bloqueio de domínios.
Análise de pesquisa
Esta investigação fornece uma análise técnica abrangente da campanha actual, baseada na observação a longo prazo e na detonação activa num ambiente controlado. Nossa pesquisa vai além dos vetores de entrega inicial para examinar a infraestrutura sofisticada e os comportamentos pós-exploração.
Os seguintes pontos de dados representam a mecânica operacional central da campanha, incluindo:
Distribuição de malware: análise da arquitetura do repositório GitHub de dois estágios e uso de envenenamento de SEO para manipular os resultados dos mecanismos de pesquisa.
Representação de ferramentas administrativas: uma análise detalhada dos utilitários administrativos específicos que estão sendo representados para garantir o comprometimento da equipe de TI com alto privilégio.
Lógica de malware: análise de malware das cargas maliciosas do MSI, incluindo sua preparação inicial e componentes persistentes.
Infraestrutura C2 descentralizada: investigação sobre o uso de contratos inteligentes Ethereum e gateways RPC públicos pelo malware para resolver dinamicamente endereços de comando e controle (C2) ativos.
NOTA: Durante a finalização da pesquisa, identificamos um alerta preliminar da KISA&KrCERT/CC sobre a campanha deste ator de ameaça - LINK. Embora o seu relatório inicial tenha proporcionado visibilidade antecipada, a nossa investigação longitudinal confirma que a campanha continua altamente activa e sofreu uma maturação técnica significativa.
Nossa investigação confirma ainda que o malware está evoluindo, com diversas variantes distintas e infraestrutura C2 adicional identificada desde o início da campanha.
Descubra as mais recentes informações sobre ameaças e pesquisas de adversários nos blogs do Atos Cyber Shield.
Distribuição de malware
A visualização abaixo demonstra o di de estágio duplo
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ferramentas #administrativas #de #falsificação #de #distribuição #etherrat #por #meio #de #github #facades
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário