O grupo de ameaças apoiado pelo GRU russo APT28 foi atribuído a uma série de campanhas visando redes em toda a Europa com o malware HeadLace e páginas da web de coleta de credenciais.
APT28, também conhecido pelos nomes BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, é um grupo de ameaças persistentes avançadas (APT) afiliado à unidade de inteligência militar estratégica da Rússia, o GRU.
A equipe de hackers opera com um alto nível de sigilo e sofisticação, muitas vezes demonstrando sua adaptabilidade por meio de preparação profunda e ferramentas personalizadas, e se baseando em serviços legítimos da internet (LIS) e binários off-the-land (LOLBins) para ocultar suas operações dentro do tráfego normal da rede.
“De abril a dezembro de 2023, o BlueDelta implantou o malware Headlace em três fases distintas usando técnicas de geofencing para visar redes em toda a Europa com um foco intenso na Ucrânia”, disse o Insikt Group da Recorded Future.
“As atividades de espionagem do BlueDelta refletem uma estratégia mais ampla destinada a reunir informações sobre entidades com significado militar para a Rússia no contexto de sua agressão contínua contra a Ucrânia.”
HeadLace, como anteriormente documentado pelo Computer Emergency Response Team da Ucrânia (CERT-UA), Zscaler, Proofpoint e IBM X-Force, é distribuído por e-mails de spear-phishing contendo links maliciosos que, quando clicados, iniciam uma sequência de infecção em várias etapas para dropar o malware.
Diz-se que o BlueDelta empregou uma cadeia de infraestrutura de sete etapas durante a primeira fase para fornecer um script BAT malicioso do Windows (ou seja, HeadLace) capaz de baixar e executar comandos shell posteriores, sujeitos a verificações de sandbox e geofencing.
A segunda fase, que começou em 28 de setembro de 2023, é notável por usar o GitHub como ponto de partida da infraestrutura de redirecionamento, enquanto a terceira fase mudou para o uso de scripts PHP hospedados no InfinityFree a partir de 17 de outubro de 2023.
“A última atividade detectada na fase três foi em dezembro de 2023”, disse a empresa. “Desde então, é provável que o BlueDelta tenha cessado de usar o hosting do InfinityFree e favorecido as infraestruturas de hospedagem no webhook[.]site e mocky[.]io diretamente.”
O BlueDelta também foi encontrado realizando operações de coleta de credenciais projetadas para visar serviços como Yahoo! e UKR[.]net servindo páginas semelhantes e, finalmente, enganando as vítimas para inserirem suas credenciais.
Outra técnica envolveu a criação de páginas da web dedicadas em Mocky que interagem com um script Python em roteadores Ubiquiti comprometidos para exfiltrar as credenciais inseridas. Em fevereiro anterior, uma operação policial liderada pelos EUA interrompeu uma botnet composta por Ubiquiti EdgeRouters que foi usada pelo APT28 para esse fim.
Os alvos da atividade de coleta de credenciais incluíram o Ministério da Defesa da Ucrânia, empresas de importação e exportação de armas ucranianas, infraestrutura ferroviária europeia e um think tank baseado no Azerbaijão.
“Infiltrar com sucesso redes associadas ao Ministério da Defesa da Ucrânia e sistemas ferroviários europeus poderia permitir que o BlueDelta reunisse informações que potencialmente moldam táticas de campo de batalha e estratégias militares mais amplas”, disse o Recorded Future.
“Além disso, o interesse do BlueDelta no Centro de Desenvolvimento Econômico e Social do Azerbaijão sugere uma agenda para entender e possivelmente influenciar políticas regionais.”
O desenvolvimento ocorre quando outro grupo de ameaças russo patrocinado pelo estado chamado Turla foi observado aproveitando convites de seminários de direitos humanos como iscas de e-mail de phishing para executar uma carga útil semelhante ao backdoor TinyTurla usando o Motor de Compilação da Microsoft (MSBuild).
