Atores de ameaças com suspeitas de vínculos com a Rússia foram observados aproveitando-se de um recurso de conta do Google chamado senhas específicas de aplicativo (ou "application specific passwords" - ASPs) como parte de uma nova tática de engenharia social projetada para obter acesso aos e-mails das vítimas.
Detalhes da campanha altamente direcionada foram divulgados pelo Google Threat Intelligence Group (GTIG) e pelo Citizen Lab, afirmando que a atividade visa se passar pelo Departamento de Estado dos EUA.
"Desde pelo menos abril até o início de junho de 2025, esse ator visou acadêmicos proeminentes e críticos da Rússia, muitas vezes usando construção de relacionamento extensa e iscas personalizadas para convencer o alvo a configurar senhas específicas de aplicativo (ASPs)", disseram os pesquisadores do GTIG, Gabby Roncone e Wesley Shields.
Uma vez que o alvo compartilha o código pass do ASP, os atacantes estabelecem acesso persistente à caixa de correio da vítima.
A atividade foi atribuída pelo Google a um cluster de ameaças que ele monitora como UNC6293, que afirma estar provavelmente afiliado ao grupo de hacking patrocinado pelo estado russo chamado APT29 (também conhecido como BlueBravo, Cloaked Ursa, CozyLarch, Cozy Bear, ICECAP, Midnight Blizzard e The Dukes).
A engenharia social se desenrola ao longo de várias semanas para estabelecer um relacionamento com os alvos, em vez de induzir um senso de pressão ou urgência que poderia ter levantado suspeitas.
Isso envolve enviar e-mails de phishing benignos disfarçados de convites para reuniões que incluem não menos que quatro endereços fictícios diferentes com o endereço de e-mail "@state.gov" na linha CC para lhe conferir um verniz de credibilidade.
"Um alvo poderia raciocinar 'se isto não é legítimo, certamente um desses funcionários do Departamento de Estado diria algo, especialmente se eu responder e mantê-los na linha CC'", disse o Citizen Lab.
Acreditamos que o atacante esteja ciente de que o servidor de e-mail do Departamento de Estado está aparentemente configurado para aceitar todas as mensagens e não emite uma resposta de 'bounce' mesmo quando o endereço não existe.
Isso indica que esses ataques são meticulosamente planejados e executados para enganar as vítimas a se separar de um código de 16 dígitos que dá ao adversário a permissão para acessar sua caixa de correio sob o pretexto de habilitar "comunicações seguras entre funcionários internos e parceiros externos."
O Google descreve essas senhas de aplicativo como uma maneira de permitir que um aplicativo ou dispositivo menos seguro acesse a conta do Google de um usuário que tenha a autenticação em duas etapas (2FA) habilitada.
"Quando você usa a Verificação em 2 Etapas, alguns aplicativos ou dispositivos menos seguros podem ser bloqueados de acessar sua conta do Google", conforme a empresa.
Senhas de aplicativo são uma maneira de permitir que o aplicativo ou dispositivo bloqueado acesse sua conta do Google.
As mensagens iniciais são projetadas para elicitar uma resposta do alvo para configurar uma reunião, após o qual eles recebem um documento em PDF que lista uma série de etapas para criar uma senha de aplicativo para acessar de maneira segura um ambiente de nuvem falso do Departamento de Estado e compartilhar o código com eles.
"Os atacantes então configuram um cliente de e-mail para usar o ASP, provavelmente com o objetivo final de acessar e ler a correspondência de e-mail da vítima", disse o GTIG.
Este método também permite que os atacantes tenham acesso persistente às contas.
O Google disse que observou uma segunda campanha com temas ucranianos, e que os atacantes fizeram login nas contas das vítimas principalmente usando proxies residenciais e servidores VPS para evitar a detecção.
A empresa disse que desde então tomou medidas para proteger as contas comprometidas pelas campanhas.
Os vínculos do UNC6293 com o APT29 derivam de uma série de ataques de engenharia social similares que se aproveitaram de técnicas inovadoras como phishing de código de dispositivo e phishing de junção de dispositivo para obter acesso não autorizado a contas do Microsoft 365 desde o início do ano.
O phishing de junção de dispositivo é particularmente notável pelo fato de enganar as vítimas a enviar de volta aos atacantes um código OAuth gerado pela Microsoft para sequestrar suas contas.
"Desde abril de 2025, a Microsoft observou suspeitos atores de ameaças ligados à Rússia usando mensagens de aplicativos de terceiros ou e-mails referenciando convites de reunião futuros para entregar um link malicioso contendo um código de autorização válido", revelou a Microsoft no mês passado.
Ao clicar, o link retorna um token para o Serviço de Registro de Dispositivos, permitindo o registro do dispositivo do ator de ameaça ao tenant.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...