Atacantes que se passavam por representantes do Serviço de Segurança da Ucrânia (SSU) utilizaram emails spam maliciosos para atingir e comprometer sistemas pertencentes a agências governamentais do país.
Na segunda-feira(12), a equipe de resposta a emergências de computador da Ucrânia (CERT-UA) divulgou que os atacantes infectaram com sucesso mais de 100 computadores com o malware AnonVNC.
Algumas amostras foram assinadas usando o certificado de assinatura de código de uma empresa que aparenta ser chinesa (Shenzhen Variable Engine E-commerce Co Ltd).
"Boa tarde, em conexão com a inspeção abrangente de diversas organizações, solicito que você envie à Diretoria Geral do SBU no endereço 01601, Kiev 1, rua Malopodvalna, 16, a lista de documentos solicitados até 15 de agosto de 2024.
Baixe o pedido oficial: Dokumenty.zip," lia-se nos emails maliciosos, vinculando a um anexo que fingia ser uma lista de documentos exigidos pelo SSU.
Esses ataques começaram há mais de um mês, por volta de 12 de julho, com emails promovendo hiperlinks para um arquivo Documents.zip que, quando baixado, instalava um arquivo MSI do Windows do domínio gbshost[.]net projetado para disseminar o malware.
Embora a CERT-UA não forneça uma descrição exata das capacidades do malware, disse que ele permitiu ao grupo de ameaças rastreado como UAC-0198 acessar os computadores comprometidos de maneira oculta.
"A CERT-UA identificou mais de 100 computadores afetados, em particular, entre órgãos governamentais centrais e locais," afirmou a CERT-UA.
"Observe que ataques cibernéticos relacionados foram realizados desde pelo menos julho de 2024 e podem ter uma geografia mais ampla."
No mês passado, a empresa de cibersegurança Dragos revelou que um ciberataque em janeiro de 2024 usado pelo malware FrostyGoop, vinculado à Rússia, interrompeu o aquecimento de mais de 600 prédios de apartamentos em Lviv, Ucrânia, por dois dias durante temperaturas abaixo de zero.
FrostyGoop é o nono malware ICS descoberto em atividade, com muitos vinculados a grupos de ameaças russas.
A Mandiant descobriu o CosmicEnergy, e a ESET identificou o Industroyer2, que os hackers do Sandworm usaram em um ataque fracassado contra um provedor de energia ucraniano.
Em abril, a CERT-UA também divulgou que o notório grupo de hackers militares russos Sandworm mirou e, em alguns casos, violou, 20 organizações de infraestrutura crítica de energia, água e aquecimento na Ucrânia.
Em dezembro, o Sandworm também invadiu e apagou milhares de sistemas na rede da Kyivstar, o maior provedor de serviços de telecomunicações da Ucrânia.
Ao todo, como revelou a CERT-UA em outubro, eles violaram as redes de 11 provedores de serviços de telecomunicações ucranianos desde maio de 2023.
A Diretoria Principal de Inteligência (GUR) do Ministério da Defesa da Ucrânia também afirmou que hackeou o Ministério da Defesa da Rússia em março, após ter reivindicado anteriormente a responsabilidade por violações do Centro Russo de Hidrometeorologia Espacial, da Agência Federal de Transporte Aéreo da Rússia e do Serviço Federal de Tributação da Rússia.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...