A Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) revelou uma nova campanha de e-mails maliciosos direcionada a órgãos governamentais, empresas e entidades militares do país.
"As mensagens exploram o apelo da integração de serviços populares, como Amazon e Microsoft, e a implementação de uma arquitetura de confiança zero", explicou o CERT-UA. "Esses e-mails trazem anexos com arquivos de configuração do Protocolo de Área de Trabalho Remota ('.rdp')."
Quando executados, esses arquivos RDP estabelecem conexão com um servidor remoto, permitindo que os cibercriminosos acessem os sistemas comprometidos, extraiam dados e instalem malwares adicionais para ataques futuros.
O CERT-UA acredita que a infraestrutura para essas atividades está sendo preparada desde agosto de 2024, com a possibilidade de que essas ofensivas se expandam para além da Ucrânia, visando outros países.
A campanha foi atribuída a um agente de ameaças rastreado como UAC-0215. Em um comunicado, a Amazon Web Services (AWS) associou as ações ao grupo de hackers russo conhecido como APT29.
"Alguns dos domínios utilizados pelos atacantes foram projetados para enganar as vítimas, fazendo parecer que eram da AWS (o que não eram). No entanto, a Amazon não foi o alvo, e o grupo não estava atrás de credenciais de clientes da AWS", afirmou CJ Moses, diretor de segurança da informação da Amazon. "O APT29 buscava, na verdade, as credenciais do Windows das vítimas através do Microsoft Remote Desktop."
A Amazon também apreendeu os domínios falsos usados pelo APT29 para se passar pela AWS, neutralizando a operação. Entre os domínios falsificados estão:
ca-west-1.mfa-gov[.]cloud
central-2-aws.ua-aws[.]army
us-east-2-aws.ua-gov[.]cloud
aws-ukraine[.]cloud
aws-data[.]cloud
aws-s3[.]cloud
aws-il[.]cloud
aws-join[.]cloud
aws-meet[.]cloud
aws-meetings[.]cloud
aws-online[.]cloud
aws-secure[.]cloud
s3-aws[.]cloud
s3-fbi[.]cloud
s3-nsa[.]cloud
s3-proofpoint[.]cloud
Simultaneamente, o CERT-UA alertou sobre um ataque cibernético de larga escala, destinado a roubar informações confidenciais de cidadãos ucranianos. A ameaça foi classificada sob o código UAC-0218.
Esse ataque começa com um e-mail de phishing que inclui um link para um arquivo RAR com armadilhas, disfarçado como uma fatura ou detalhes de pagamento. Dentro desse arquivo, há um malware baseado em Visual Basic Script, chamado HOMESTEEL, programado para extrair arquivos com extensões específicas (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv”, “rtf”, “ods”, “odt”, “eml”, “pst”, “rar” e “zip”) e enviá-los a um servidor controlado pelos invasores.
“Assim, os criminosos podem acessar dados pessoais, financeiros e outras informações sigilosas, que podem ser utilizados para extorsão ou roubo”, alertou o CERT-UA.
Além disso, o CERT-UA detectou uma campanha no estilo "ClickFix", projetada para enganar usuários com links maliciosos embutidos em e-mails. Esses links lançam um script PowerShell capaz de abrir um túnel SSH, roubar dados armazenados em navegadores e baixar a estrutura de teste de penetração Metasploit.
Ao clicar no link, os usuários são redirecionados para uma página falsa de verificação reCAPTCHA que solicita a verificação da identidade. Ao clicarem no botão de verificação, o script malicioso ("Browser.ps1") é copiado para a área de transferência e uma janela pop-up instrui o usuário a executá-lo pelo comando "Executar" do Windows.
O CERT-UA declarou ter "confiança média" de que esta campanha é obra de outro grupo russo de ameaças persistentes avançadas conhecido como APT28, também identificado como UAC-0001.
Essas ofensivas cibernéticas contra a Ucrânia ocorrem em um momento em que um relatório da Bloomberg destacou como a agência de inteligência militar russa e o Serviço Federal de Segurança (FSB) sistematicamente visaram a infraestrutura e o governo da Geórgia em uma série de ataques digitais entre 2017 e 2020, dos quais alguns foram atribuídos ao grupo Turla.
Via - THN
コメント