Você está visualizando atualmente Kremlin-Apoiado APT28 Alveja Instituições Polonesas em Campanha de Malware em Grande Escala

Kremlin-Apoiado APT28 Alveja Instituições Polonesas em Campanha de Malware em Grande Escala

Instituições do governo polonês foram alvo de uma campanha de malware em larga escala orquestrada por um ator de estado-nação vinculado à Rússia chamado APT28.

A campanha enviou e-mails com conteúdo destinado a despertar o interesse do destinatário e persuadi-lo a clicar no link, afirma a equipe de resposta a emergências cibernéticas, CERT Polska, em um boletim divulgado na quarta-feira.

Clicar no link redireciona a vítima para um domínio chamado run.mocky[.]io, que, por sua vez, é usado para redirecionar para outro site legítimo chamado webhook[.]site, um serviço gratuito que permite aos desenvolvedores inspecionar os dados que estão sendo enviados via webhook, numa tentativa de evitar a detecção.

O próximo passo envolve o download de um arquivo ZIP do site webhook[.]site, que contém o executável da Calculadora do Windows que se disfarça como um arquivo de imagem JPG (“IMG-238279780.jpg.exe”), um arquivo de script em lote oculto e outro arquivo de DLL oculto (“WindowsCodecs.dll”).

Se a vítima executar o aplicativo, o arquivo DLL malicioso é carregado através de uma técnica chamada de carregamento de DLL para, por fim, executar o script em lote, enquanto imagens de uma “mulher real em traje de banho juntamente com links para suas contas reais em plataformas de mídia social” são exibidas em um navegador para manter a farsa.

O script em lote simultaneamente baixa uma imagem em JPG (“IMG-238279780.jpg”) do site webhook[.]site, que é posteriormente renomeada para um script CMD (“IMG-238279780.cmd) e executada, após a qual obtém o payload da etapa final para coletar informações sobre o host comprometido e enviar os detalhes de volta.

O CERT Polska disse que a cadeia de ataque apresenta semelhanças com uma campanha anterior que propagou um backdoor personalizado chamado HeadLace.

É importante observar que o abuso de serviços legítimos como Mocky e webhook[.]site é uma tática repetidamente adotada por atores da APT28 para contornar a detecção de software de segurança.

“Se a sua organização não utiliza os serviços mencionados acima, recomendamos considerar o bloqueio dos domínios mencionados nos dispositivos de borda”, acrescentou.

O desenvolvimento vem dias depois de países da OTAN acusarem o grupo apoiado pelo Kremlin de conduzir uma campanha de espionagem cibernética de longo prazo direcionada às suas entidades políticas, instituições estatais e infraestrutura crítica.

As atividades maliciosas da APT28 também se expandiram para alvejar dispositivos iOS com o spyware XAgent, que foi detalhado pela primeira vez pela Trend Micro em conexão com uma campanha chamada Operação Pawn Storm em fevereiro de 2015.

Notícias dos ataques da APT28 às entidades polonesas também vêm após um aumento nos ataques motivados financeiramente por grupos de cibercrime russos como UAC-0006 visando a Ucrânia no segundo semestre de 2023, enquanto organizações na Rússia e Bielorrússia foram alvo de um ator de estado-nação conhecido como Midge para entregar malware capaz de saquear informações sensíveis.