O Computer Emergency Response Team da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos perpetrados por hackers estatais russos visando vários órgãos governamentais no país.
A agência atribuiu a campanha de phishing ao APT28, que também é conhecido pelos nomes Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit e Sofacy.
As mensagens de e-mail vêm com a linha de assunto "Atualização do Windows" e supostamente contêm instruções em ucraniano para executar um comando PowerShell sob o pretexto de atualizações de segurança.
A execução do script carrega e executa um script PowerShell de próxima etapa que é projetado para coletar informações básicas do sistema por meio de comandos como tasklist e systeminfo e exfiltrar os detalhes por meio de uma solicitação HTTP para uma API Mocky.
Para enganar os alvos a executar o comando, os e-mails se passam por administradores do sistema das entidades governamentais visadas, usando contas de e-mail falsas do Microsoft Outlook criadas com os nomes e iniciais reais dos funcionários.
O CERT-UA está recomendando que as organizações restrinjam a capacidade dos usuários de executar scripts PowerShell e monitorem as conexões de rede com a API Mocky.
A divulgação vem semanas depois que o APT28 foi associado a ataques explorando falhas de segurança agora corrigidas em equipamentos de rede para conduzir reconhecimento e implantar malware contra alvos selecionados.
O Grupo de Análise de Ameaças (TAG) do Google, em um aviso publicado no mês passado, detalhou uma operação de coleta de credenciais realizada pelo ator de ameaças para redirecionar visitantes de sites do governo ucraniano para domínios de phishing.
Equipes de hackers baseadas na Rússia também foram vinculadas à exploração de uma falha crítica de escalonamento de privilégios no Microsoft Outlook (
CVE-2023-23397
, pontuação CVSS: 9,8) em intrusões direcionadas aos setores governamental, de transporte, energia e militar na Europa.
O desenvolvimento também ocorre quando o Fortinet FortiGuard Labs descobriu um ataque de phishing em várias etapas que alavanca um documento do Word com macro supostamente da Energoatom da Ucrânia como isca para fornecer o framework de pós-exploração de código aberto Havoc.
"É altamente provável que os serviços de inteligência, militares e de aplicação da lei russos tenham uma compreensão tácita e duradoura com atores de ameaças cibernéticas", disse a empresa de segurança cibernética Recorded Future em um relatório no início deste ano.
"Em alguns casos, é quase certo que essas agências mantenham um relacionamento estabelecido e sistemático com atores de ameaças cibernéticas, seja por colaboração indireta ou recrutamento."
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...