A ameaça cibernética apoiada pelo GRU russo, APT28, foi atribuída como responsável por uma série de campanhas visando redes em toda a Europa com o malware HeadLace e páginas de coleta de credenciais.

O APT28, também conhecido pelos nomes BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, é um grupo de ameaças persistentes avançadas (APT) ligado à unidade de inteligência militar estratégica da Rússia, o GRU.

A equipe de hackers opera com um alto nível de sigilo e sofisticação, frequentemente demonstrando sua adaptabilidade através de uma preparação profunda e equipamento customizado, e dependendo de serviços legítimos da internet (LIS) e binários off-the-land (LOLBins) para esconder suas operações dentro do tráfego regular da rede.

“De abril a dezembro de 2023, o BlueDelta implantou o malware Headlace em três fases distintas usando técnicas de geofencing para segmentar redes em toda a Europa com um foco intenso na Ucrânia”, disse o Insikt Group da Recorded Future.

“As atividades de espionagem do BlueDelta refletem uma estratégia mais ampla voltada para reunir inteligência sobre entidades com significado militar para a Rússia no contexto de sua agressão contínua contra a Ucrânia.”

O HeadLace, como já documentado pelo Computer Emergency Response Team da Ucrânia (CERT-UA), Zscaler, Proofpoint e IBM X-Force, é distribuído via e-mails de spear-phishing contendo links maliciosos que, quando clicados, iniciam uma sequência de infecção multiestágios para baixar o malware.

Diz-se que o BlueDelta empregou uma cadeia de infraestrutura de sete estágios durante a primeira fase para entregar um script BAT malicioso do Windows (ou seja, HeadLace) capaz de baixar e executar comandos de shell complementares, sujeitos a verificações de sandbox e geofencing.

A segunda fase, que começou em 28 de setembro de 2023, é notável por usar o GitHub como ponto de partida da infraestrutura de redirecionamento, enquanto a terceira fase mudou para usar scripts PHP hospedados no InfinityFree a partir de 17 de outubro de 2023.

“A última atividade detectada na terceira fase foi em dezembro de 2023”, disse a empresa. “Desde então, a BlueDelta provavelmente parou de usar o InfinityFree Hosting e favoreceu a infraestrutura de hospedagem em sites de webhook e mocky.”

A BlueDelta também foi encontrada realizando operações de coleta de credenciais projetadas para visar serviços como o Yahoo! e o UKR.net, fornecendo páginas semelhantes e, por fim, enganando as vítimas para inserirem suas credenciais.

Outra técnica envolveu a criação de páginas da web dedicadas em Mocky que interagem com um script Python em roteadores Ubiquiti comprometidos para extrair as credenciais inseridas. Em fevereiro passado, uma operação de aplicação da lei liderada pelos EUA interrompeu uma botnet composta por Ubiquiti EdgeRouters que foi utilizada pelo APT28 para esse fim.

Os alvos da atividade de coleta de credenciais incluíam o Ministério da Defesa da Ucrânia, empresas de importação e exportação de armas ucranianas, infraestrutura ferroviária europeia e um think tank baseado no Azerbaijão.

“Infiltrar com sucesso redes associadas ao Ministério da Defesa da Ucrânia e sistemas ferroviários europeus pode permitir à BlueDelta reunir inteligência que potencialmente molda táticas de batalha e estratégias militares mais amplas”, disse a Recorded Future.

“Além disso, o interesse da BlueDelta no Centro para o Desenvolvimento Econômico e Social do Azerbaijão sugere uma agenda para entender e possivelmente influenciar políticas regionais.”

O desenvolvimento surge quando outro grupo de ameaças russo patrocinado pelo Estado, chamado Turla, foi observado usando convites para seminários de direitos humanos como iscas de e-mail de phishing para executar um payload semelhante ao backdoor TinyTurla usando o mecanismo Microsoft Build (MSBuild).