O ator de ameaças APT29 (também conhecido como Cozy Bear) ligado à Rússia foi atribuído a uma campanha contínua de espionagem cibernética visando ministérios estrangeiros e entidades diplomáticas localizadas em países membros da OTAN, União Europeia e África.
De acordo com o Serviço de Contrainteligência Militar da Polônia e a equipe do CERT Polska, a atividade observada compartilha sobreposições táticas com um grupo rastreado pela Microsoft como Nobelium, conhecido por seu ataque de alto perfil à SolarWinds em 2020.
As operações do Nobelium foram atribuídas ao Serviço de Inteligência Estrangeira da Rússia (SVR), uma organização encarregada de proteger "indivíduos, sociedade e Estado contra ameaças estrangeiras".
Dito isto, a campanha representa uma evolução das táticas do grupo de hackers apoiados pelo Kremlin, indicando tentativas persistentes de aprimorar suas armas cibernéticas para infiltrar sistemas de vítimas para coleta de informações.
"Novas ferramentas foram usadas ao mesmo tempo e independentemente umas das outras, ou substituindo aquelas cuja eficácia havia diminuído, permitindo que o ator mantivesse um ritmo operacional contínuo e alto", disseram as agências.
Os ataques começam com e-mails de spear-phishing que se fazem passar por embaixadas europeias e têm como objetivo atrair diplomatas-alvo para abrir anexos infectados por malware sob o disfarce de um convite ou reunião.
Embutido no anexo PDF há um URL armadilhado que leva à implantação de um dropper HTML chamado EnvyScout (também conhecido como ROOTSAW), que é então usado como um canal para entregar três cepas desconhecidas anteriormente: SNOWYAMBER, HALFRIG e QUARTERRIG.
SNOWYAMBER, também conhecido como GraphicalNeutrino pela Recorded Future, aproveita o serviço de anotações Notion para o controle de comando e controle (C2) e para o download de payloads adicionais, como Brute Ratel.
QUARTERRIG também funciona como um downloader capaz de recuperar um executável de um servidor controlado pelo ator.
HALFRIG, por outro lado, atua como um carregador para lançar o kit de pós-exploração Cobalt Strike contido nele.
Vale ressaltar que a divulgação se alinha com descobertas recentes da BlackBerry, que detalham uma campanha do Nobelium visando países da União Europeia, com uma ênfase específica em agências que estão "ajudando cidadãos ucranianos que fogem do país e fornecendo ajuda ao governo da Ucrânia".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...