A Equipe de Resposta a Emergências Computacionais da Ucrânia (CERT-UA) alertou sobre uma campanha de spear-phishing direcionada a uma instituição de pesquisa científica no país, utilizando malware conhecido como HATVIBE e CHERRYSPY.
A agência atribuiu o ataque a um ator de ameaça que monitora sob o nome UAC-0063, anteriormente observado visando diversas entidades governamentais para coletar informações sensíveis usando keyloggers e backdoors.
O ataque é caracterizado pelo uso de uma conta de e-mail comprometida pertencente a um funcionário da organização para enviar mensagens de phishing para "dezenas" de destinatários, contendo um anexo do Microsoft Word (DOCX) com macros maliciosas.
Abrir o documento e habilitar macros resulta na execução de uma Aplicação HTML codificada (HTA) chamada HATVIBE, que estabelece persistência no host usando uma tarefa agendada e abre caminho para um backdoor Python codinome CHERRYSPY, que é capaz de executar comandos emitidos por um servidor remoto.
O CERT-UA disse que detectou "numerosos casos" de infecções por HATVIBE que exploram uma conhecida falha de segurança no HTTP File Server (CVE-2024-23692, pontuação CVSS: 9.8) para acesso inicial.
UAC-0063 foi associado com um grupo ligado ao estado-nação da Rússia denominado APT28 com confiança moderada.
APT28, que também é referido como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, está afiliado à unidade de inteligência militar estratégica da Rússia, o GRU.
O desenvolvimento surge enquanto o CERT-UA detalhou outra campanha de phishing visando empresas de defesa ucranianas com arquivos PDF armadilhados incorporando um link que, quando clicado, baixa um executável (conhecido como GLUEEGG), responsável por descriptografar e executar um carregador baseado em Lua chamado DROPCLUE.
DROPCLUE é projetado para abrir um documento isca para a vítima, enquanto discretamente baixa um programa de Desktop Remoto legítimo chamado Atera Agent usando a utilidade curl.
O ataque foi vinculado a um cluster rastreado como UAC-0180.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...