uac-0041-campaign-2022

# UAC-0041 Campaign 2022 > [!high] Campanha de Infostealer Contra Ucrania Durante Conflito com Russia > A campanha **UAC-0041** foi documentada pelo CERT-UA em marco de 2022 (alerta #4315), descrevendo ataques de distribuição do infostealer **Mars Stealer** contra organizacoes ucranianas via spam de email. A campanha ocorreu no contexto da invasao russa da Ucrania, visando roubo de credenciais de funcionarios governamentais e militares ucranianos para uso em espionagem ou monetização. ## Visão Geral O UAC-0041 e uma designacao usada pelo CERT-UA (Computer Emergency Response Team da Ucrania) para rastrear um cluster de atividade maliciosa específico identificado em marco de 2022. A nomenclatura UAC (Uncategorized Actor Cluster) indica que o grupo ainda nao foi formalmente atribuido a um estado-nacao ou ator conhecido no momento da públicacao do alerta. O [[mars-stealer]] e um infostealer baseado no código vazado do Oski Stealer, vendido em forums de cibercrime rus-sofonianos como Malware-as-a-Service (MaaS) por aproximadamente $140 por versao. O malware e especializado em roubar credenciais de browsers (Firefox, Chrome, Edge), carteiras de criptomoedas (Metamask, Exodus, Electrum), tokens de autenticação de dois fatores e cookies de sessao. No contexto da invasao russa iniciada em 24 de fevereiro de 2022, campanhas de infostealer como a do UAC-0041 adquiriram relevância estratégica adicional: credenciais de funcionarios governamentais e militares ucranianos roubadas poderiam ser usadas para acesso nao-autorizado a sistemas de comunicação e coordenacao militar, espionagem ou simplesmente monetização via venda em mercados de credenciais roubadas. O vetor de entrega era spam de email com arquivos maliciosos contendo o Mars Stealer. A campanha e relativamente simples técnicamente - o Mars Stealer e uma ferramenta commodity - mas a escolha do momento (invasao em andamento) e dos alvos (funcionarios ucranianos) aponta para motivacao que vai alem de crime oportunista. O CERT-UA atribuiu o alerta ao código de rastreamento CERT-UA#4315, tornando-a parte do extenso registro público de incidentes ciberneticos que o CERT-UA manteve durante o conflito como servico público para a comunidade de segurança global. ## Attack Flow ```mermaid graph TB A["📧 Spam de Email em Massa Iscos relacionados ao conflito Documentos e noticias falsas"] --> B["📎 Arquivo Malicioso Anexo ZIP, Excel ou executavel disfarçado"] B --> C["⚙️ Execução pelo Usuario Mars Stealer instalado User Execution T1204"] C --> D["🔍 Coleta de Credenciais Browsers: Chrome, Firefox Edge e outros"] D --> E["💰 Alvos de Alto Valor Carteiras cripto Metamask Tokens 2FA (Gmail, etc)"] E --> F["📤 Exfiltração para C2 Credenciais enviadas ao painel do operador"] F --> G["🎯 Uso ou Venda Acesso a contas OU Venda em mercados darkweb"] ``` ### Mars Stealer - Capacidades ```mermaid graph TB A["Mars Stealer Infostealer MaaS"] --> B["Credenciais de Browser Chrome, Firefox, Edge Opera, Brave, Vivaldi"] A --> C["Carteiras Cripto MetaMask, Exodus Electrum, Bitcoin Core"] A --> D["Cookies de Sessao Gmail, Outlook Redes sociais"] A --> E["Dados do Sistema Screenshot inicial Info de hardware"] B --> F["Exfiltração C2 Panel web do operador Downloads de logs"] ``` ## Cronologia | Data | Evento | |------|--------| | 2022-02-24 | Russia inicia invasao em larga escala da Ucrania | | 2022-03 | UAC-0041 inicia campanha de spam com Mars Stealer contra alvos ucranianos | | 2022-03-15 | CERT-UA pública alerta CERT-UA#4315 documentando a campanha | | 2022-04 | Atividade da campanha reduz; UAC-0041 nao identificado em novas campanhas públicas | ## TTPs (MITRE ATT&CK) | ID | Técnica | Uso na Campanha | |----|---------|-----------------| | [[t1566-phishing\|T1566]] | Phishing | Spam de email com iscos relacionados ao conflito ucraniano | | [[t1204-user-execution\|T1204]] | User Execution | Abertura de arquivo malicioso pela vitima | | [[t1555-credentials-from-stores\|T1555]] | Credentials from Stores | Mars Stealer extraindo credenciais salvas em browsers | | [[t1539-steal-web-session-cookie\|T1539]] | Steal Web Session Cookie | Roubo de cookies de autenticação de sessao ativa | | [[t1071-application-layer-protocol\|T1071]] | Application Layer | Exfiltração de credenciais para painel C2 via HTTP | | [[t1560-archive-collected-data\|T1560]] | Archive Collected Data | Logs de credenciais comprimidos antes de exfiltração | ## Vitimas e Alvos O UAC-0041 direcionou a campanha contra: - **Funcionarios governamentais ucranianos**: Com acesso a sistemas de comunicação oficial - **Pessoal militar ucraniano**: Com credenciais de sistemas de coordenacao - **Jornalistas e ativistas**: Cobrindo o conflito com acesso a fontes sensiveis - **Cidadaos ucranianos com criptomoedas**: Alvos de oportunidade para roubo financeiro ## Relevância LATAM O impacto direto para o Brasil e LATAM e nulo. No entanto: > [!latam] Contexto Brasil e LATAM > O **Mars Stealer** como commodity malware MaaS esta disponível globalmente, incluindo para operadores em LATAM. Infostealers similares (RedLine, Vidar, Raccoon) sao frequentemente usados em campanhas contra usuarios brasileiros, especialmente direcionadas a credenciais bancarias e carteiras de criptomoedas. O modelo de ataque - spam em massa + infostealer commodity - e o mais comum em campanhas financeiras contra o Brasil. A campanha UAC-0041 demonstra como infostealers de baixo custo podem ter relevância estratégica em contextos de conflito. ## Mitigação e Detecção - **Nao salvar senhas em browsers** - usar gerenciador de senhas dedicado com 2FA - **Autenticação multifator** em todas as contas criticas, especialmente email e acesso remoto - **EDR com detecção de acesso a banco de dados de senhas** do Chrome/Firefox/Edge - **Monitoramento de trafego de saida** para padroes de exfiltração de infostealers (POST com dados de browser) - **Treinamento de usuarios** para nao abrir anexos de email nao solicitados - Aplicar [[m1049-antivirus-endpoint-protection]] e [[m1032-multi-factor-authentication]] ## Referências - [CERT-UA - Alerta CERT-UA#4315 (Mar 2022)](https://cert.gov.ua/article/18419) - [Informação sobre Mars Stealer - ANY.RUN](https://any.run/malware-trends/mars-stealer) - [MITRE ATT&CK - Mars Stealer](https://attack.mitre.org/software/S0651/)