O ator de ameaças ligado à Rússia conhecido como APT28 foi associado a várias campanhas de phishing em andamento que empregam documentos atraentes que imitam organizações governamentais e não governamentais (ONGs) na Europa, no Cáucaso do Sul, na Ásia Central, e na América do Norte e do Sul.
"As atrações descobertas incluem uma mistura de documentos internos e disponíveis publicamente, bem como documentos possivelmente gerados pelo ator associados a finanças, infraestrutura crítica, engajamentos executivos, cibersegurança, segurança marítima, saúde, negócios e produção industrial de defesa", disse a IBM X-Force em um relatório publicado na semana passada.
A empresa de tecnologia está rastreando a atividade sob a alcunha de ITG05, que também é conhecida como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 e UAC-028.
A divulgação ocorre mais de três meses depois do inimigo ter sido detectado usando iscas relacionadas à guerra em andamento entre Israel e Hamas para entregar um backdoor personalizado chamado HeadLace.
Desde então, o APT28 também tem como alvo entidades governamentais ucranianas e organizações polonesas com mensagens de phishing projetadas para implantar implantes personalizados e ladrões de informações como MASEPIE, OCEANMAP e STEELHOOK.
Outras campanhas envolveram a exploração de falhas de segurança no Microsoft Outlook (
CVE-2023-23397
, pontuação CVSS: 9.8) para saquear hashes NT LAN Manager (NTLM) v2, levantando a possibilidade de que o ator da ameaça possa explorar outras fraquezas para exfiltrar hashes NTLMv2 para uso em ataques de retransmissão.
As campanhas mais recentes observadas pela IBM X-Force entre o final de novembro de 2023 e fevereiro de 2024 aproveitam o manuseador de protocolo URI "search-ms:" no Microsoft Windows para enganar vítimas a baixarem malwares hospedados em servidores WebDAV controlados pelo ator.
Há evidências que sugerem que tanto os servidores WebDAV, quanto os servidores MASEPIE C2, possam ser hospedados em roteadores Ubiquiti comprometidos, um botnet que foi derrubado pelo governo dos EUA no mês passado.
Os ataques de phishing se passam por entidades de vários países, como Argentina, Ucrânia, Geórgia, Bielorrússia, Cazaquistão, Polônia, Armênia, Azerbaijão e os EUA, usando uma combinação de documentos atraentes autênticos disponíveis publicamente de governos e ONGs para ativar as cadeias de infecção.
"Em uma atualização de suas metodologias, ITG05 está utilizando o provedor de hospedagem gratuito, firstcloudit[.]com para organizar payloads para permitir operações em andamento", disseram os pesquisadores de segurança Joe Fasulo, Claire Zaboeva e Golo Mühr.
O clímax do elaborado esquema do APT28 termina com a execução do MASEPIE, OCEANMAP e STEELHOOK, que são projetados para exfiltrar arquivos, executar comandos arbitrários e roubar dados de navegadores.
OCEANMAP foi caracterizado como uma versão mais capaz do CredoMap, outro backdoor previamente identificado como usado pelo grupo.
"ITG05 continua adaptável às mudanças de oportunidade, entregando novas metodologias de infecção e aproveitando a infraestrutura comercialmente disponível, enquanto evolui consistentemente as capacidades de malware", concluíram os pesquisadores.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...