Hackers russos APT28 visam 13 nações em campanha contínua de espionagem cibernética
13 de Dezembro de 2023

O ator de ameaça do estado-nação russo conhecido como APT28 foi observado fazendo uso de iscas relacionadas à atual guerra entre Israel e Hamas para facilitar a entrega de um backdoor personalizado chamado HeadLace.

A IBM X-Force está rastreando o adversário sob o nome ITG05, que também é conhecido como BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy e TA422.

"A nova campanha descoberta é dirigida contra alvos sediados em pelo menos 13 nações em todo o mundo e aproveita documentos autênticos criados por centros acadêmicos, financeiros e diplomáticos", disseram os pesquisadores de segurança Golo Mühr, Claire Zaboeva e Joe Fasulo.

"A infraestrutura do ITG05 garante que apenas alvos de um único país específico possam receber o malware, indicando a natureza altamente direcionada da campanha."

PRÓXIMO WEBINAR Supere ameaças alimentadas por IA com Zero Trust - Webinar para profissionais de segurança As medidas de segurança tradicionais não são suficientes no mundo de hoje.

É hora de Segurança Zero Trust.

Proteja seus dados como nunca antes.

Os alvos da campanha incluem Hungria, Turquia, Austrália, Polônia, Bélgica, Ucrânia, Alemanha, Azerbaijão, Arábia Saudita, Cazaquistão, Itália, Letônia e Romênia.

A campanha envolve o uso de iscas projetadas principalmente para selecionar entidades europeias com uma "influência direta na alocação de ajuda humanitária", aproveitando documentos associados às Nações Unidas, ao Banco de Israel, ao Serviço de Pesquisa do Congresso dos EUA, ao Parlamento Europeu, a um centro de pensamento ucraniano e a uma Comissão Intergovernamental Azerbaijão-Bielorrússia.

Alguns dos ataques foram encontrados para empregar arquivos RAR explorando a falha do WinRAR chamada CVE-2023-38831 para propagar o HeadLace, um backdoor que foi divulgado pela primeira vez pela Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) em ataques direcionados à infraestrutura crítica no país.

Vale a pena notar que a Zscaler revelou uma campanha similar chamada Steal-It em setembro de 2023 que atraiu alvos com conteúdo para adultos para enganá-los a se separar de informações sensíveis.

A revelação vem uma semana após a Microsoft, a Palo Alto Networks Unit 42 e a Proofpoint detalharem a exploração do ator de ameaça de uma falha de segurança crítica do Microsoft Outlook ( CVE-2023-23397 , pontuação CVSS: 9.8) para obter acesso não autorizado às contas das vítimas em servidores Exchange.

A confiança em documentos oficiais como iscas, portanto, marca um desvio da atividade observada anteriormente, "indicativa da maior ênfase do ITG05 em um público-alvo único cujos interesses levariam à interação com material que afeta a criação de políticas emergentes."

"É altamente provável que o comprometimento de qualquer escalão dos centros de política externa global possa auxiliar os interesses dos oficiais com uma visão avançada das dinâmicas críticas que cercam a abordagem da Comunidade Internacional (IC) para prioridades concorrentes para segurança e assistência humanitária", disseram os pesquisadores.

O desenvolvimento também segue um novo aviso em que o CERT-UA vinculou o ator de ameaça conhecido como UAC-0050 a um grande ataque de phishing baseado em e-mail contra Ucrânia e Polônia usando Remcos RAT e Meduza Stealer.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...