Instituições governamentais polonesas foram alvo de uma ampla campanha de malware orquestrada por um ator de estado-nação ligado à Rússia chamado APT28.
"A campanha enviava emails com conteúdo destinado a despertar o interesse do destinatário e persuadi-lo a clicar no link", disse a equipe de resposta a emergências de computador, CERT Polska, em um boletim de quarta-feira(08).
Clicar no link redireciona a vítima para o domínio run.mocky[.]io, que, por sua vez, é usado para redirecionar para outro site legítimo chamado webhook[.]site, um serviço gratuito que permite aos desenvolvedores inspecionar dados que estão sendo enviados via webhook, em uma tentativa de evadir a detecção.
O próximo passo envolve o download de um arquivo ZIP do webhook[.]site, que contém o binário da Calculadora do Windows disfarçado como um arquivo de imagem JPG ("IMG-238279780.jpg.exe"), um arquivo de script batch oculto, e outro arquivo DLL oculto ("WindowsCodecs.dll").
Caso uma vítima execute a aplicação, o arquivo DLL malicioso é carregado lateralmente por meio de uma técnica chamada DLL side-loading para, definitivamente, executar o script batch, enquanto imagens de uma "mulher real de biquíni junto com links para suas contas reais em plataformas de mídia social" são exibidas em um navegador da web para manter o disfarce.
O script batch simultaneamente baixa uma imagem JPG ("IMG-238279780.jpg") do webhook[.]site que é posteriormente renomeada para um script CMD ("IMG-238279780.cmd") e executada, após o que recupera o payload final para coletar informações sobre o host comprometido e enviar os detalhes de volta.
O CERT Polska disse que a cadeia de ataque tem semelhanças com uma campanha anterior que propagou um backdoor personalizado chamado HeadLace.
Vale a pena notar que o abuso de serviços legítimos como Mocky e webhook[.]site é uma tática repetidamente adotada pelos atores do APT28 para contornar a detecção por software de segurança.
"Se sua organização não usa os serviços mencionados acima, recomendamos que você considere bloquear os domínios mencionados acima em dispositivos de borda", acrescentou.
Independentemente de você usar ou não os websites mencionados acima, também recomendamos filtrar emails por links em webhook.site e run.mocky.io, porque casos de seu uso legítimo no conteúdo do email são muito raros.
O desenvolvimento ocorre dias depois que países da OTAN acusaram o grupo apoiado pelo Kremlin de conduzir uma campanha de espionagem cibernética de longo prazo visando suas entidades políticas, instituições estaduais e infraestrutura crítica.
As atividades maliciosas do APT28 também expandiram para visar dispositivos iOS com o spyware XAgent, que foi detalhado pela primeira vez pela Trend Micro em conexão com uma campanha denominada Operation Pawn Storm em fevereiro de 2015.
"Principalmente visando entidades políticas e governamentais na Europa Ocidental, o XAgent possui capacidades para controle remoto e exfiltração de dados", disse a Symantec, pertencente à Broadcom.
Ele pode reunir informações sobre contatos dos usuários, mensagens, detalhes do dispositivo, aplicações instaladas, capturas de tela e registros de chamadas.
Esses dados poderiam potencialmente ser usados para campanhas de engenharia social ou spear-phishing.
Notícias dos ataques do APT28 a entidades polonesas também seguem um aumento nos ataques motivados financeiramente por grupos de cibercrime russos como o UAC-0006 visando a Ucrânia no segundo semestre de 2023, mesmo com organizações na Rússia e em Belarus sendo alvo de um ator de estado-nação conhecido como Midge para entregar malware capaz de saquear informações sensíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...