O ator de ameaça do estado-nação russo conhecido como APT28 foi observado fazendo uso de iscas relacionadas à atual guerra entre Israel e Hamas para facilitar a entrega de um backdoor personalizado chamado HeadLace.
A IBM X-Force está rastreando o adversário sob o nome ITG05, que também é conhecido como BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy e TA422.
"A nova campanha descoberta é dirigida contra alvos sediados em pelo menos 13 nações em todo o mundo e aproveita documentos autênticos criados por centros acadêmicos, financeiros e diplomáticos", disseram os pesquisadores de segurança Golo Mühr, Claire Zaboeva e Joe Fasulo.
"A infraestrutura do ITG05 garante que apenas alvos de um único país específico possam receber o malware, indicando a natureza altamente direcionada da campanha."
PRÓXIMO WEBINAR Supere ameaças alimentadas por IA com Zero Trust - Webinar para profissionais de segurança As medidas de segurança tradicionais não são suficientes no mundo de hoje.
É hora de Segurança Zero Trust.
Proteja seus dados como nunca antes.
Os alvos da campanha incluem Hungria, Turquia, Austrália, Polônia, Bélgica, Ucrânia, Alemanha, Azerbaijão, Arábia Saudita, Cazaquistão, Itália, Letônia e Romênia.
A campanha envolve o uso de iscas projetadas principalmente para selecionar entidades europeias com uma "influência direta na alocação de ajuda humanitária", aproveitando documentos associados às Nações Unidas, ao Banco de Israel, ao Serviço de Pesquisa do Congresso dos EUA, ao Parlamento Europeu, a um centro de pensamento ucraniano e a uma Comissão Intergovernamental Azerbaijão-Bielorrússia.
Alguns dos ataques foram encontrados para empregar arquivos RAR explorando a falha do WinRAR chamada
CVE-2023-38831
para propagar o HeadLace, um backdoor que foi divulgado pela primeira vez pela Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) em ataques direcionados à infraestrutura crítica no país.
Vale a pena notar que a Zscaler revelou uma campanha similar chamada Steal-It em setembro de 2023 que atraiu alvos com conteúdo para adultos para enganá-los a se separar de informações sensíveis.
A revelação vem uma semana após a Microsoft, a Palo Alto Networks Unit 42 e a Proofpoint detalharem a exploração do ator de ameaça de uma falha de segurança crítica do Microsoft Outlook (
CVE-2023-23397
, pontuação CVSS: 9.8) para obter acesso não autorizado às contas das vítimas em servidores Exchange.
A confiança em documentos oficiais como iscas, portanto, marca um desvio da atividade observada anteriormente, "indicativa da maior ênfase do ITG05 em um público-alvo único cujos interesses levariam à interação com material que afeta a criação de políticas emergentes."
"É altamente provável que o comprometimento de qualquer escalão dos centros de política externa global possa auxiliar os interesses dos oficiais com uma visão avançada das dinâmicas críticas que cercam a abordagem da Comunidade Internacional (IC) para prioridades concorrentes para segurança e assistência humanitária", disseram os pesquisadores.
O desenvolvimento também segue um novo aviso em que o CERT-UA vinculou o ator de ameaça conhecido como UAC-0050 a um grande ataque de phishing baseado em e-mail contra Ucrânia e Polônia usando Remcos RAT e Meduza Stealer.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...