Você está visualizando atualmente Kremlin-Backed APT28 Ataca Instituições Polonesas em Campanha de Malware em Grande Escala

Kremlin-Backed APT28 Ataca Instituições Polonesas em Campanha de Malware em Grande Escala

As instituições governamentais polonesas foram alvo de uma campanha de malware em larga escala orquestrada por um ator de nação-estado vinculado à Rússia chamado APT28.

“A campanha enviou e-mails com conteúdo destinado a despertar o interesse do destinatário e convencê-lo a clicar no link”, informou a equipe de resposta a emergências computacionais, CERT Polska, em um boletim na quarta-feira.

Clicando no link, a vítima é redirecionada para o domínio run.mocky [.] io, que, por sua vez, é usado para redirecionar para outro site legítimo chamado webhook [.] site, um serviço gratuito que permite aos desenvolvedores inspecionar os dados que estão sendo enviados via um webhook, em um esforço para evitar a detecção.

O próximo passo envolve o download de um arquivo de arquivo ZIP do site webhook [.] site, que contém o binário da Calculadora do Windows que se passa por um arquivo de imagem JPG (“IMG-238279780.jpg.exe”), um arquivo de script em lote oculto e outro arquivo de DLL oculto (“WindowsCodecs.dll”).

Caso uma vítima execute o aplicativo, o arquivo DLL malicioso é carregado lateralmente por meio de uma técnica chamada carregamento lateral de DLL para, finalmente, executar o script em lote, enquanto imagens de uma “mulher real de maiô junto com links para suas contas reais em plataformas de mídia social” são exibidas em um navegador da web para manter o disfarce.

O script em lote simultaneamente baixa uma imagem JPG (“IMG-238279780.jpg”) do site webhook [.] site que é subsequentemente renomeada para um script CMD (“IMG-238279780.cmd) e executada, após o que ele recupera o payload da última fase para reunir informações sobre o host comprometido e enviá-las de volta.

O CERT Polska disse que a cadeia de ataque apresenta semelhanças com uma campanha anterior que propagou um backdoor personalizado chamado HeadLace.

Vale ressaltar que o abuso de serviços legítimos como Mocky e webhook [.] site é uma tática repetidamente adotada por atores da APT28 para contornar a detecção por software de segurança.

“Se sua organização não usa os serviços acima mencionados, recomendamos que você considere bloquear os domínios acima mencionados em dispositivos de borda”, acrescentou.

A notícia das investidas da APT28 em entidades polonesas também segue acusações de países da OTAN contra o grupo apoiado pelo Kremlin de conduzir uma campanha de espionagem cibernética de longo prazo visando entidades políticas, instituições estatais e infraestrutura crítica.

As atividades maliciosas da APT28 também se expandiram para visar dispositivos iOS com o spyware XAgent, que foi detalhado pela primeira vez pela Trend Micro em conexão com uma campanha chamada Operação Pawn Storm em fevereiro de 2015.

Direcionando principalmente entidades políticas e governamentais na Europa Ocidental, o XAgent possui capacidades de controle remoto e exfiltração de dados, disse a Symantec, uma subsidiária da Broadcom.

“Pode reunir informações sobre os contatos dos usuários, mensagens, detalhes do dispositivo, aplicativos instalados, capturas de tela e registros de chamadas. Esses dados poderiam ser potencialmente usados em campanhas de engenharia social ou spear-phishing.”

As notícias dos ataques da APT28 às entidades polonesas também seguem um aumento nos ataques motivados financeiramente por grupos de e-crime russos como UAC-0006, visando a Ucrânia na segunda metade de 2023, enquanto organizações na Rússia e Belarus foram alvejadas por um ator de nação-estado conhecido como Midge para entregar malware capaz de saquear informações sensíveis.