A Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) disse na terça-feira que frustrou um ataque cibernético contra uma instalação de infraestrutura energética crítica não identificada no país.
A intrusão, segundo a agência, começou com um email de phishing contendo um link para um arquivo ZIP malicioso que ativa a cadeia de infecções.
"Visitar o link baixará um arquivo ZIP contendo três imagens JPG (isca) e um arquivo BAT 'weblinks.cmd' para o computador da vítima", disse a CERT-UA, atribuindo-o ao ator de ameaça russo conhecido como APT28 (também conhecido como BlueDelta, Fancy Bear, Forest Blizzard ou FROZENLAKE).
"Quando um arquivo CMD é executado, várias páginas da web isca serão abertas, arquivos .bat e .vbs serão criados, e um arquivo VBS será iniciado, que por sua vez executará o arquivo BAT".
A próxima fase do ataque envolve a execução do comando "whoami" no host comprometido e a exfiltração das informações, além do download do serviço oculto da TOR para rotear o tráfego malicioso.
A persistência é alcançada por meio de uma tarefa agendada e a execução de comandos remotos é implementada usando cURL através de um serviço legítimo chamado webhook[.]site, que recentemente foi divulgado como usado por um ator de ameaça conhecido como Dark Pink.
A CERT-UA disse que o ataque foi finalmente malsucedido devido ao fato de que o acesso ao Mocky e ao Windows Script Host (wscript.exe) estava restrito.
Vale ressaltar que o APT28 foi vinculado ao uso de APIs Mocky no passado.
A divulgação ocorre em meio a contínuos ataques de phishing direcionados à Ucrânia, alguns dos quais foram observados utilizando um mecanismo de ofuscação de malware fora da prateleira chamado ScruptCrypt para distribuir o AsyncRAT.
Outro assalto cibernético realizado por GhostWriter (também conhecido como UAC-0057 ou UNC1151) disse ter armado um zero-day recentemente divulgado (
CVE-2023-38831
, pontuação CVSS: 7.8) para implantar o PicassoLoader e o Cobalt Strike, disse a agência.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...