Campanhas de Phishing miram Ucrânia
28 de Outubro de 2024

A Equipe de Resposta a Emergências Computacionais da Ucrânia (CERT-UA) detalhou uma nova campanha de emails maliciosos visando agências governamentais, empresas e entidades militares.

"As mensagens exploram o apelo de integrar serviços populares como Amazon ou Microsoft e implementar uma arquitetura de zero-trust," disse a CERT-UA.

"Esses e-mails contêm anexos na forma de arquivos de configuração do Remote Desktop Protocol ('.rdp')."

Uma vez executados, os arquivos RDP estabelecem uma conexão com um servidor remoto, permitindo que os atores de ameaças obtenham acesso remoto aos hosts comprometidos, roubem dados e plantem malware adicional para ataques subsequentes.

Acredita-se que a preparação da infraestrutura para a atividade esteja em andamento desde pelo menos agosto de 2024, com a agência declarando que é provável que se espalhe da Ucrânia para visar outros países.

O CERT-UA atribuiu a campanha a um ator de ameaça que rastreia como UAC-0215.

O Amazon Web Service (AWS), em um aviso próprio, vinculou-o ao grupo de hacking patrocinado pelo estado russo conhecido como APT29.

"Alguns dos nomes de domínio que usaram tentavam enganar os alvos fazendo-os acreditar que os domínios eram da AWS (não eram), mas a Amazon não era o alvo, nem o grupo estava atrás das credenciais de clientes AWS," disse CJ Moses, Diretor de Segurança da Informação da Amazon.

Em vez disso, APT29 buscava as credenciais Windows dos alvos através do Microsoft Remote Desktop.

O gigante da tecnologia disse que também apreendeu os domínios que o adversário estava usando para se passar pela AWS, para neutralizar a operação.

Alguns dos domínios usados pelo APT29 são listados abaixo:

- ca-west-1.mfa-gov[.]cloud
- central-2-aws.ua-aws[.]army
- us-east-2-aws.ua-gov[.]cloud
- aws-ukraine[.]cloud
- aws-data[.]cloud
- aws-s3[.]cloud
- aws-il[.]cloud
- aws-join[.]cloud
- aws-meet[.]cloud
- aws-meetings[.]cloud
- aws-online[.]cloud
- aws-secure[.]cloud
- s3-aws[.]cloud
- s3-fbi[.]cloud
- s3-nsa[.]cloud, e
- s3-proofpoint[.]cloud

O desenvolvimento ocorre enquanto a CERT-UA também alertou sobre um ataque cibernético em larga escala destinado a roubar informações confidenciais de usuários ucranianos.

A ameaça foi catalogada sob o codinome UAC-0218.

O ponto de partida do ataque é um email de phishing contendo um link para um arquivo RAR armadilhado que pretende ser contas ou detalhes de pagamento.

Dentro do arquivo, há um malware baseado em Visual Basic Script chamado HOMESTEEL que é projetado para exfiltrar arquivos com certas extensões ("xls", "xlsx", "doc", "docx", "pdf", "txt", "csv", "rtf", "ods", "odt", "eml", "pst", "rar", e "zip") para um servidor controlado pelo atacante.

"Dessa maneira, criminosos podem ganhar acesso a dados pessoais, financeiros e outros dados sensíveis e usar isso para chantagem ou roubo," disse a CERT-UA.

Além disso, a CERT-UA alertou sobre uma campanha estilo ClickFix que visa enganar os usuários a clicarem em links maliciosos embutidos em mensagens de email para soltar um script de PowerShell capaz de estabelecer um túnel SSH, roubar dados de navegadores da web e baixar e lançar o framework de teste de penetração Metasploit.

Usuários que clicarem no link são direcionados para uma página falsa de verificação reCAPTCHA que os incita a verificar sua identidade clicando em um botão.

Essa ação copia o script malicioso de PowerShell ("Browser.ps1") para a área de transferência do usuário e exibe uma janela popup com instruções para executá-lo usando a caixa de diálogo Executar no Windows.

A CERT-UA disse ter um "nível médio de confiança" de que a campanha é obra de outro ator de ameaça persistente avançado russo conhecido como APT28 (também conhecido como UAC-0001).

As ofensivas cibernéticas contra a Ucrânia acontecem em meio a um relatório da Bloomberg que detalhou como a agência de inteligência militar da Rússia e o Serviço Federal de Segurança (FSB) miraram sistematicamente na infraestrutura e governo da Geórgia como parte de uma série de intrusões digitais entre 2017 e 2020.

Alguns dos ataques foram atribuídos ao Turla.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...