O CERT da Ucrânia Impede Ataque Cibernético do APT28 na Infraestrutura Energética Crítica
6 de Setembro de 2023

A Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) disse na terça-feira que frustrou um ataque cibernético contra uma instalação de infraestrutura energética crítica não identificada no país.

A intrusão, segundo a agência, começou com um email de phishing contendo um link para um arquivo ZIP malicioso que ativa a cadeia de infecções.

"Visitar o link baixará um arquivo ZIP contendo três imagens JPG (isca) e um arquivo BAT 'weblinks.cmd' para o computador da vítima", disse a CERT-UA, atribuindo-o ao ator de ameaça russo conhecido como APT28 (também conhecido como BlueDelta, Fancy Bear, Forest Blizzard ou FROZENLAKE).

"Quando um arquivo CMD é executado, várias páginas da web isca serão abertas, arquivos .bat e .vbs serão criados, e um arquivo VBS será iniciado, que por sua vez executará o arquivo BAT".

A próxima fase do ataque envolve a execução do comando "whoami" no host comprometido e a exfiltração das informações, além do download do serviço oculto da TOR para rotear o tráfego malicioso.

A persistência é alcançada por meio de uma tarefa agendada e a execução de comandos remotos é implementada usando cURL através de um serviço legítimo chamado webhook[.]site, que recentemente foi divulgado como usado por um ator de ameaça conhecido como Dark Pink.

A CERT-UA disse que o ataque foi finalmente malsucedido devido ao fato de que o acesso ao Mocky e ao Windows Script Host (wscript.exe) estava restrito.

Vale ressaltar que o APT28 foi vinculado ao uso de APIs Mocky no passado.

A divulgação ocorre em meio a contínuos ataques de phishing direcionados à Ucrânia, alguns dos quais foram observados utilizando um mecanismo de ofuscação de malware fora da prateleira chamado ScruptCrypt para distribuir o AsyncRAT.

Outro assalto cibernético realizado por GhostWriter (também conhecido como UAC-0057 ou UNC1151) disse ter armado um zero-day recentemente divulgado ( CVE-2023-38831 , pontuação CVSS: 7.8) para implantar o PicassoLoader e o Cobalt Strike, disse a agência.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...