A "Laboratório Kaspersky" revelou a existência do grupo de ameaças persistentes avançadas (APT) Geo Likho, que está conduzindo ataques cibernéticos direcionados contra organizações na Rússia. O foco principal dos ataques são empresas dos setores de aviação e transporte marítimo. De acordo com os pesquisadores, o grupo realizou mais de 200 ataques nos últimos sete meses.
As evidências indicam que o Geo Likho está ativo desde pelo menos julho de 2024. Análises retrospectivas conectaram o grupo a campanhas maliciosas que empregaram o trojan de espionagem Batavia. Além dos setores aéreo e marítimo, o grupo também tem como alvo instituições governamentais, educacionais e empresas de engenharia. A maioria dos ataques se concentra na Rússia, embora alguns casos isolados tenham sido detectados na Alemanha, Sérvia e Hong Kong, provavelmente devido à natureza dos e-mails de phishing e arquivos isca, que são predominantemente em russo.
A característica distintiva do Geo Likho é a criação de malware único para cada vítima, com um identificador de destino codificado em cada amostra maliciosa. Outra característica notável é o uso de scripts VBE, incomum para grupos APT modernos, o que pode servir como um indicador específico dessa ameaça. Após obter acesso à infraestrutura da vítima, os atacantes conduzem vigilância e roubam dados por semanas ou até meses. A cadeia de infecção começa com um e-mail de phishing contendo um link disfarçado como um documento oficial. Ao clicar no link, um arquivo TAR é baixado, contendo um script VBE que inicia uma infecção em três estágios. O primeiro estágio baixa um carregador que determina a versão do sistema operacional e o antivírus instalado. Em seguida, ele baixa e executa um implante Delphi que coleta documentos, imagens, logs do sistema e captura capturas de tela. Este implante também exibe um documento falso para evitar suspeitas. O terceiro estágio envolve um componente C++ que expande a lista de arquivos roubados, incluindo documentos do Office, imagens (JPEG), CSV, RTF e TXT. Este módulo pode receber comandos do servidor de comando e controle (C2), incluindo o download de ferramentas adicionais, coleta de arquivos de unidades de rede e bypass do Controle de Conta de Usuário (UAC) através do computerdefaults.exe. A comunicação com o servidor C2 é protegida por criptografia XOR com uma chave de 232 bytes.
"As ações do grupo são caracterizadas por preparação cuidadosa e foco em países específicos: nos últimos sete meses, os invasores realizaram mais de 200 ataques na Rússia. Durante a pesquisa, também descobrimos que o Geo Likho começou a criar utilitários maliciosos para a infraestrutura específica da vítima. Isso sugere que os invasores estão investindo recursos significativos no desenvolvimento de suas próprias ferramentas", comentou Alexey Shulmin, especialista em segurança cibernética da "Laboratório Kaspersky".
