Instituições Ucranianas alvos de phishing
23 de Julho de 2024

A Equipe de Resposta a Emergências Computacionais da Ucrânia (CERT-UA) alertou sobre uma campanha de spear-phishing direcionada a uma instituição de pesquisa científica no país, utilizando malware conhecido como HATVIBE e CHERRYSPY.

A agência atribuiu o ataque a um ator de ameaça que monitora sob o nome UAC-0063, anteriormente observado visando diversas entidades governamentais para coletar informações sensíveis usando keyloggers e backdoors.

O ataque é caracterizado pelo uso de uma conta de e-mail comprometida pertencente a um funcionário da organização para enviar mensagens de phishing para "dezenas" de destinatários, contendo um anexo do Microsoft Word (DOCX) com macros maliciosas.

Abrir o documento e habilitar macros resulta na execução de uma Aplicação HTML codificada (HTA) chamada HATVIBE, que estabelece persistência no host usando uma tarefa agendada e abre caminho para um backdoor Python codinome CHERRYSPY, que é capaz de executar comandos emitidos por um servidor remoto.

O CERT-UA disse que detectou "numerosos casos" de infecções por HATVIBE que exploram uma conhecida falha de segurança no HTTP File Server (CVE-2024-23692, pontuação CVSS: 9.8) para acesso inicial.
UAC-0063 foi associado com um grupo ligado ao estado-nação da Rússia denominado APT28 com confiança moderada.

APT28, que também é referido como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, está afiliado à unidade de inteligência militar estratégica da Rússia, o GRU.

O desenvolvimento surge enquanto o CERT-UA detalhou outra campanha de phishing visando empresas de defesa ucranianas com arquivos PDF armadilhados incorporando um link que, quando clicado, baixa um executável (conhecido como GLUEEGG), responsável por descriptografar e executar um carregador baseado em Lua chamado DROPCLUE.

DROPCLUE é projetado para abrir um documento isca para a vítima, enquanto discretamente baixa um programa de Desktop Remoto legítimo chamado Atera Agent usando a utilidade curl.

O ataque foi vinculado a um cluster rastreado como UAC-0180.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...