A Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) está alertando sobre tentativas contínuas de atores de ameaças desconhecidos de se passarem pela agência de cibersegurança, enviando solicitações de conexão AnyDesk.
As solicitações de AnyDesk afirmam ser para realizar uma auditoria para avaliar o "nível de segurança", acrescentou CERT-UA, alertando as organizações para ficarem atentas a tais tentativas de engenharia social que procuram explorar a confiança do usuário.
"É importante notar que, sob certas circunstâncias, a CERT-UA pode utilizar softwares de acesso remoto, como o AnyDesk," disse a CERT-UA.
No entanto, tais ações são tomadas apenas após acordo prévio com os proprietários dos objetos de defesa cibernética por meio de canais de comunicação oficialmente aprovados. No entanto, para que este ataque tenha sucesso, é necessário que o software de acesso remoto AnyDesk esteja instalado e operacional no computador do alvo.
Também requer que o atacante esteja na posse do identificador AnyDesk do alvo, sugerindo que eles possam primeiro ter que obter o identificador por outros métodos.
Para mitigar o risco representado por esses ataques, é essencial que programas de acesso remoto sejam habilitados apenas pela duração de seu uso e o acesso remoto seja coordenado por meio de canais de comunicação oficiais.
A notícia da campanha surge no momento em que o Serviço Estatal da Ucrânia para Comunicações Especiais e Proteção da Informação (SSSCIP) revelou que o centro de resposta a incidentes da agência cibernética detectou mais de 1.042 incidentes em 2024, com códigos maliciosos e esforços de intrusão representando mais de 75% de todos os eventos.
"Em 2024, os agrupamentos de ameaças cibernéticas mais ativos foram UAC-0010, UAC-0050 e UAC-0006, especializando-se em ciberespionagem, furto financeiro e operações informação-psicológicas," disse o SSSCIP.
UAC-0010, também conhecido como Aqua Blizzard e Gamaredon, é estimado estar por trás de 277 incidentes.
UAC-0050 e UAC-0006 foram encontrados relacionados a 99 e 174 incidentes, respectivamente.
O desenvolvimento também segue a descoberta de 24 domínios de nível superior .shop previamente não relatados provavelmente associados ao grupo de hackers pró-Rússia conhecido como GhostWriter (também conhecido como TA445, UAC-0057 e UNC1151), conectando campanhas distintas direcionadas à Ucrânia no último ano.
Uma análise realizada pelo pesquisador de segurança Will Thomas (@BushidoToken) descobriu que os domínios usados nessas campanhas utilizavam o mesmo domínio genérico de nível superior (gTLD), o registrador PublicDomainsRegistry e os servidores de nomes Cloudflare.
Todos os servidores identificados também têm um diretório robots.txt configurado.
À medida que a guerra russo-ucraniana se aproxima do fim do seu terceiro ano, ciberataques também foram registrados contra a Rússia com o objetivo de roubar dados sensíveis e interromper operações comerciais, implantando ransomware.
Na semana passada, a empresa de cibersegurança F.A.C.C.T. atribuiu ao ator Sticky Werewolf uma campanha de spear-phishing direcionada contra empresas de pesquisa e produção russas para entregar um trojan de acesso remoto conhecido como Ozone, capaz de conceder acesso remoto a sistemas Windows infectados.
Também descreveu o Sticky Werewolf como um grupo de ciberespionagem pró-ucraniano que tem como alvos principais instituições estatais, institutos de pesquisa e empreendimentos industriais na Rússia.
No entanto, uma análise anterior da empresa israelense de cibersegurança Morphisec apontou que essa conexão "permanece incerta".
Não é conhecido o sucesso desses ataques.
Alguns dos outros clusters de atividade de ameaça que foram observados visando entidades russas nos últimos meses incluem Core Werewolf, Venture Wolf e Paper Werewolf (também conhecido como GOFFEE), o último dos quais utilizou um módulo IIS malicioso chamado Owowa para facilitar o roubo de credenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...