O grupo de hackers patrocinado pelo estado russo 'APT29' (também conhecido como Nobelium, Cloaked Ursa) tem utilizado iscas não convencionais, como anúncios de carros, para atrair diplomatas na Ucrânia a clicar em links maliciosos que entregam malware.
O APT29 está ligado ao Serviço de Inteligência Estrangeira (SVR) do governo russo e tem sido responsável por várias campanhas de ciberespionagem visando indivíduos de alto interesse em todo o mundo.
Nos últimos dois anos, os hackers russos se concentraram em alvos da OTAN, UE e Ucrânia, usando e-mails phishing e documentos com temas de política externa, bem como sites falsos para infectar seus alvos com backdoors furtivos.
Um relatório publicado hoje pela equipe da Unit 42 da Palo Alto Network explica que o APT29 tem evoluído suas táticas de phishing, usando iscas mais pessoais para o destinatário do e-mail de phishing.
Em uma das operações mais recentes do APT29 identificadas pela Unit 42, que começou em maio de 2023, os atores de ameaças usaram um anúncio de carro BMW para mirar diplomatas na capital ucraniana, Kiev.
O panfleto de venda foi enviado para endereços de e-mail dos diplomatas, imitando uma venda de carro legítima que circulou duas semanas antes por um diplomata polonês que estava se preparando para deixar a Ucrânia.
Quando os destinatários clicam no link "fotos de alta qualidade" embutido no documento malicioso, são redirecionados para uma página HTML que entrega payloads de arquivos ISO maliciosos via contrabando HTML.
Contrabando HTML é uma técnica usada em campanhas de phishing que usam HTML5 e JavaScript para ocultar payloads maliciosos em strings codificadas em um anexo HTML ou página da web.
Essas strings são então decodificadas por um navegador quando o usuário abre o anexo ou clica em um link.
Essa técnica ajuda a evitar softwares de segurança, pois o código malicioso é ofuscado e só é decodificado ao ser renderizado no navegador.
O arquivo ISO contém o que parecem ser nove imagens PNG mas que, na realidade, são arquivos LNK que acionam a cadeia de infecção mostrada no diagrama abaixo.
Quando a vítima abre qualquer dos arquivos LNK que se passam por imagens PNG, eles lançam um executável legítimo que usa carregamento lateral DLL para injetar shellcode no processo atual na memória.
A Unit 42 relata que essa campanha visou pelo menos 22 das 80 missões estrangeiras em Kiev, incluindo as dos Estados Unidos, Canadá, Turquia, Espanha, Países Baixos, Grécia, Estônia e Dinamarca.
No entanto, a taxa de infecção permanece desconhecida.
Cerca de 80% dos endereços de e-mail que receberam o panfleto malicioso estavam disponíveis publicamente online, enquanto o APT29 deve ter obtido os outros 20% por meio de comprometimento de contas e coleta de inteligência.
Outro exemplo recente da prontidão do APT29 para explorar incidentes reais para phishing é um PDF enviado ao Ministério das Relações Exteriores da Turquia (MFA) no início de 2023, orientando assistência humanitária para o terremoto que atingiu o sul da Turquia em Fevereiro.
O Unit 42 comenta que o PDF malicioso provavelmente foi compartilhado entre os funcionários do MFA e encaminhado para outras organizações turcas, já que o ataque se aproveitou do ótimo momento.
Enquanto o conflito na Ucrânia persiste e os desenvolvimentos em evolução dentro da OTAN ameaçam alterar a paisagem geopolítica, espera-se que os grupos de ciberespionagem russa continuem e até intensifiquem seus esforços para atingir missões diplomáticas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...