O Serviço de Contrainteligência Militar da Polônia e sua Equipe de Resposta a Emergências Cibernéticas ligaram os hackers patrocinados pelo estado APT29, parte do Serviço de Inteligência Estrangeira (SVR) do governo russo, a ataques generalizados visando países da OTAN e da União Europeia.
Como parte desta campanha, o grupo de ciberespionagem (também conhecido como Cozy Bear e Nobelium) visava colher informações de entidades diplomáticas e ministérios estrangeiros.
"No momento da publicação do relatório, a campanha ainda está em andamento e em desenvolvimento", adverte um aviso publicado hoje.
"O Serviço de Contrainteligência Militar e o CERT.PL recomendam a todas as entidades que possam estar na área de interesse do ator que implementem mecanismos destinados a melhorar a segurança dos sistemas de segurança da TI em uso e aumentar a detecção de ataques".
Os atacantes têm como alvo o pessoal diplomático usando e-mails de spear phishing se passando por embaixadas de países europeus com links para sites maliciosos ou anexos projetados para implantar malware por meio de arquivos ISO, IMG e ZIP.
Os sites controlados pela APT29 infectaram as vítimas com o EnvyScout dropper por meio de contrabando HTML, o que ajudou a implantar downloaders conhecidos como SNOWYAMBER e QUARTERRIG e projetados para fornecer malware adicional, bem como um estágio de CobaltStrike Beacon chamado HALFRIG.
SNOWYAMBER e QUARTERRIG foram usados para reconhecimento para ajudar os atacantes a avaliar a relevância de cada alvo e determinar se comprometeram honeypots ou VMs usados para análise de malware.
"Se a estação de trabalho infectada passasse na verificação manual, os referidos downloaders eram usados para fornecer e iniciar as ferramentas comerciais COBALT STRIKE ou BRUTE RATEL", lê um relatório separado de análise de malware lançado hoje.
"HALFRIG, por outro lado, funciona como um chamado Loader - ele contém payload do COBALT STRIKE e o executa automaticamente".
A APT29 é a divisão de hackers do Serviço de Inteligência Estrangeira (SVR) russo, que também foi ligada ao ataque à cadeia de suprimentos SolarWinds que levou à comprometimento de várias agências federais dos EUA há três anos.
Desde então, o grupo de hackers invadiu as redes de outras organizações usando malware furtivo que permaneceu indetectável por anos, incluindo um novo malware rastreado como TrailBlazer e uma variante da porta dos fundos GoldMax Linux.
A Unit 42 também observou a ferramenta de simulação de ataque adversarial Brute Ratel sendo usada em ataques suspeitos de estar ligados aos espiões cibernéticos russos do SVR.
Mais recentemente, a Microsoft relatou que os hackers APT29 estão usando novo malware capaz de sequestrar os Serviços de Federação de Diretório Ativo (ADFS) para fazer login como qualquer pessoa em sistemas Windows.
Eles também têm como alvo contas do Microsoft 365 em países da OTAN em tentativas de acessar informações de política externa e orquestraram uma onda de campanhas de phishing visando governos, embaixadas e autoridades de alto escalão em toda a Europa.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...