APT28 aprimora técnicas de ofuscação com trojans HTA avançados

Pesquisadores de segurança descobriram que o grupo APT28, associado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques cibernéticos. Uma análise recente revelou que o grupo emprega arquivos HTA (Aplicação HTML) com múltiplas camadas de ofuscação e utiliza a técnica VBE (VBScript Encoded) para evitar a detecção.

Análise Técnica do Trojan HTA

Amostras de malware analisadas mostraram mecanismos de decodificação complexos embutidos nos arquivos HTA. O código ofuscado utiliza padrões únicos de divisão de strings, como “@#@”, para ocultar sua funcionalidade.

Pesquisadores, utilizando ferramentas de depuração como x32dbg, conseguiram reverter o algoritmo de decodificação do malware. O processo envolveu loops de comparação iterativos que manipulavam registradores de memória (EDX e EAX) para desofuscar caracteres individuais. A lógica de decodificação dependia de um algoritmo de mapeamento personalizado que transformava strings ofuscadas em texto legível.​

Exploração da Codificação VBE da Microsoft

A investigação revelou que o APT28 utilizou o Windows Script Encoder (screnc.exe) da Microsoft para codificar arquivos VBScript (.vbs) no formato .vbe. Essa técnica, originalmente projetada para proteger scripts contra acesso não autorizado, foi reaproveitada pelos invasores para dificultar a análise. Os arquivos .vbe codificados continham flags como “#@” e “#@$”, que foram decodificados usando scripts Python disponíveis publicamente, como “vbe-decoder.py”. Após a desofuscação, os pesquisadores descobriram um arquivo VBScript que servia como a etapa final do malware, executando cargas adicionais destinadas a espionagem.​

Essas descobertas destacam os esforços contínuos do APT28 em refinar suas técnicas de ofuscação para atingir objetivos de ciberespionagem. Ao combinar ofuscação em múltiplas camadas com codificação VBE, o grupo demonstra um alto nível de sofisticação técnica visando contornar mecanismos tradicionais de detecção. Essas táticas representam uma ameaça significativa para organizações nas regiões alvo e além. Profissionais de segurança são instados a permanecer vigilantes e implementar estratégias robustas de detecção capazes de identificar métodos avançados de ofuscação.​

Arquivos identificados:

• MD5: d0c3b49e788600ff3967f784eb5de973
• SHA256: 332d9db35daa83c5ad226b9bf50e992713bc6a69c9ecd52a1223b81e992bc725

Atividade de rede associada:

• Endereço IP: 5[.]45[.]70[.]178