O ator de ameaças apoiado pelo GRU russo, APT28, foi identificado como responsável por uma série de campanhas que visam redes em toda a Europa com o malware HeadLace e páginas da web de coleta de credenciais.
APT28, também conhecido pelos nomes BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, é um grupo de ameaça persistente avançada (APT) afiliado à unidade de inteligência militar estratégica da Rússia, o GRU.
A equipe de hackers opera com um alto nível de discrição e sofisticação, frequentemente demonstrando sua adaptabilidade por meio de preparação profunda e ferramentas personalizadas, e contando com serviços de internet legítimos (LIS) e binaries de "living off-the-land" (LOLBins) para ocultar suas operações dentro do tráfego de rede regular.
"De abril a dezembro de 2023, BlueDelta implantou o malware HeadLace em três fases distintas, usando técnicas de geofencing para visar redes em toda a Europa, com um foco intenso na Ucrânia," disse o grupo Insikt da Recorded Future.
As atividades de espionagem do BlueDelta refletem uma estratégia mais ampla voltada para a coleta de inteligência sobre entidades com significado militar para a Rússia no contexto de sua agressão contínua contra a Ucrânia.
O HeadLace, como documentado anteriormente pela Computer Emergency Response Team da Ucrânia (CERT-UA), Zscaler, Proofpoint e IBM X-Force, é distribuído via e-mails de spear-phishing contendo links maliciosos que, quando clicados, iniciam uma sequência de infecção em várias etapas para liberar o malware.
Diz-se que BlueDelta empregou uma cadeia de infraestrutura de sete fases durante a primeira fase para entregar um script BAT do Windows malicioso (ou seja, HeadLace) capaz de baixar e executar comandos shell subsequentes, sujeitos a verificações de sandbox e geofencing.
A segunda fase, iniciada em 28 de setembro de 2023, é notável por usar o GitHub como ponto de partida da infraestrutura de redirecionamento, enquanto a terceira fase mudou para o uso de scripts PHP hospedados no InfinityFree a partir de 17 de outubro de 2023.
"A última atividade detectada na fase três foi em dezembro de 2023", disse a empresa.
Desde então, BlueDelta provavelmente cessou o uso da hospedagem InfinityFree e favoreceu a infraestrutura de hospedagem em webhook[.]site e mocky[.]io diretamente. BlueDelta também foi encontrado realizando operações de coleta de credenciais destinadas a serviços como Yahoo! e UKR[.]net, servindo páginas semelhantes e, em última análise, induzindo vítimas a inserir suas credenciais.
Outra técnica envolvia a criação de páginas da web dedicadas no Mocky que interagem com um script Python rodando em roteadores Ubiquiti comprometidos para exfiltrar as credenciais inseridas.
Em fevereiro deste ano, uma operação de aplicação da lei liderada pelos EUA interrompeu uma botnet composta por Ubiquiti EdgeRouters que foi utilizada pelo APT28 para esse fim.
Alvos da atividade de coleta de credenciais incluíram o Ministério da Defesa da Ucrânia, empresas ucranianas de importação e exportação de armas, infraestrutura ferroviária europeia e um think tank com sede no Azerbaijão.
"Infiltrar-se com sucesso em redes associadas ao Ministério da Defesa da Ucrânia e aos sistemas ferroviários europeus poderia permitir ao BlueDelta reunir inteligência que potencialmente molda táticas de campo de batalha e estratégias militares mais amplas", disse a Recorded Future.
Além disso, o interesse do BlueDelta no Centro de Desenvolvimento Econômico e Social do Azerbaijão sugere uma agenda para entender e, possivelmente, influenciar políticas regionais. Este desenvolvimento surge enquanto outro grupo de ameaças russo patrocinado pelo estado, chamado Turla, tem sido observado aproveitando convites para seminários de direitos humanos como iscas de e-mails de phishing para executar um payload semelhante ao backdoor TinyTurla usando o Microsoft Build Engine (MSBuild).
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...