Grupo de Hackers APT28 mirando Europa, Américas, Ásia em Esquema Amplo de Phishing
18 de Março de 2024

O ator de ameaças ligado à Rússia conhecido como APT28 foi associado a várias campanhas de phishing em andamento que empregam documentos atraentes que imitam organizações governamentais e não governamentais (ONGs) na Europa, no Cáucaso do Sul, na Ásia Central, e na América do Norte e do Sul.

"As atrações descobertas incluem uma mistura de documentos internos e disponíveis publicamente, bem como documentos possivelmente gerados pelo ator associados a finanças, infraestrutura crítica, engajamentos executivos, cibersegurança, segurança marítima, saúde, negócios e produção industrial de defesa", disse a IBM X-Force em um relatório publicado na semana passada.

A empresa de tecnologia está rastreando a atividade sob a alcunha de ITG05, que também é conhecida como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 e UAC-028.

A divulgação ocorre mais de três meses depois do inimigo ter sido detectado usando iscas relacionadas à guerra em andamento entre Israel e Hamas para entregar um backdoor personalizado chamado HeadLace.

Desde então, o APT28 também tem como alvo entidades governamentais ucranianas e organizações polonesas com mensagens de phishing projetadas para implantar implantes personalizados e ladrões de informações como MASEPIE, OCEANMAP e STEELHOOK.

Outras campanhas envolveram a exploração de falhas de segurança no Microsoft Outlook ( CVE-2023-23397 , pontuação CVSS: 9.8) para saquear hashes NT LAN Manager (NTLM) v2, levantando a possibilidade de que o ator da ameaça possa explorar outras fraquezas para exfiltrar hashes NTLMv2 para uso em ataques de retransmissão.

As campanhas mais recentes observadas pela IBM X-Force entre o final de novembro de 2023 e fevereiro de 2024 aproveitam o manuseador de protocolo URI "search-ms:" no Microsoft Windows para enganar vítimas a baixarem malwares hospedados em servidores WebDAV controlados pelo ator.

Há evidências que sugerem que tanto os servidores WebDAV, quanto os servidores MASEPIE C2, possam ser hospedados em roteadores Ubiquiti comprometidos, um botnet que foi derrubado pelo governo dos EUA no mês passado.

Os ataques de phishing se passam por entidades de vários países, como Argentina, Ucrânia, Geórgia, Bielorrússia, Cazaquistão, Polônia, Armênia, Azerbaijão e os EUA, usando uma combinação de documentos atraentes autênticos disponíveis publicamente de governos e ONGs para ativar as cadeias de infecção.

"Em uma atualização de suas metodologias, ITG05 está utilizando o provedor de hospedagem gratuito, firstcloudit[.]com para organizar payloads para permitir operações em andamento", disseram os pesquisadores de segurança Joe Fasulo, Claire Zaboeva e Golo Mühr.

O clímax do elaborado esquema do APT28 termina com a execução do MASEPIE, OCEANMAP e STEELHOOK, que são projetados para exfiltrar arquivos, executar comandos arbitrários e roubar dados de navegadores.

OCEANMAP foi caracterizado como uma versão mais capaz do CredoMap, outro backdoor previamente identificado como usado pelo grupo.

"ITG05 continua adaptável às mudanças de oportunidade, entregando novas metodologias de infecção e aproveitando a infraestrutura comercialmente disponível, enquanto evolui consistentemente as capacidades de malware", concluíram os pesquisadores.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...