A Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) alertou para um novo conjunto de ataques cibernéticos que, segundo ela, foram direcionados a empresas de defesa no país, assim como às suas forças de segurança e defesa.
Os ataques de phishing foram atribuídos a um ator de ameaça vinculado à Rússia chamado UAC-0185 (também conhecido como UNC4221), que está ativo pelo menos desde 2022.
"Os e-mails de phishing imitavam mensagens oficiais da Liga Ucraniana de Industrialistas e Empresários," disse o CERT-UA.
"Os e-mails divulgavam uma conferência a ser realizada em 5 de dezembro em Kiev, com o objetivo de alinhar os produtos das empresas da indústria de defesa doméstica com os padrões da OTAN." As mensagens de e-mail vêm embutidas com uma URL maliciosa que insta os destinatários a clicar nela para visualizar "informações importantes" relacionadas à sua participação na conferência.
Mas, na realidade, ao fazer isso, resulta no download de um arquivo de atalho do Windows que, ao ser aberto, é projetado para executar uma Aplicação HTML, que, por sua vez, contém código JavaScript responsável por executar comandos do PowerShell capazes de carregar payloads de próxima etapa.
Isso inclui um arquivo isca e um arquivo ZIP que contém um script batch, outra Aplicação HTML e um arquivo executável.
No passo final, o script batch é lançado para executar o arquivo da Aplicação HTML, que, então, executa o binário MeshAgent no host, concedendo aos atacantes controle remoto sobre o sistema comprometido.
O CERT-UA disse que o ator de ameaça está focado principalmente no roubo de credenciais associadas a aplicativos de mensagens como Signal, Telegram e WhatsApp, e sistemas militares da Ucrânia como DELTA, Teneta e Kropyva.
"Os hackers também lançaram uma série de ataques cibernéticos para obter acesso não autorizado aos PCs de trabalhadores de empresas de defesa e representantes das forças de segurança e defesa," disse a agência.
Segundo a Mandiant, de propriedade do Google, que expôs o UNC4221 na conferência de segurança SentinelLabs LABScon em setembro deste ano, o ator de ameaça é conhecido por coletar "dados relevantes para o campo de batalha através do uso de malware para Android, operações de phishing que se passam por aplicações militares ucranianas, e operações que visam plataformas de mensagens populares como Telegram e WhatsApp."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...