Você está visualizando atualmente Ameaça APT28 Apoiada pelo Kremlin Ataca Instituições Polonesas em Campanha de Malware em Grande Escala

Ameaça APT28 Apoiada pelo Kremlin Ataca Instituições Polonesas em Campanha de Malware em Grande Escala

Instituições governamentais polonesas foram alvo de uma campanha de malware em larga escala orquestrada por um ator estatal vinculado à Rússia chamado APT28.

“A campanha enviou e-mails com conteúdo destinado a despertar o interesse do destinatário e persuadi-lo a clicar no link”, disse a equipe de resposta a emergências computacionais, CERT Polska, em um boletim na quarta-feira.

Clicar no link redireciona a vítima para o domínio run.mocky[.]io, que, por sua vez, é usado para redirecionar para outro site legítimo chamado webhook[.]site, um serviço gratuito que permite aos desenvolvedores inspecionar os dados que estão sendo enviados por meio de um webhook, em um esforço para evitar a detecção.

O próximo passo envolve o download de um arquivo ZIP do site webhook[.]site, que contém o binário da Calculadora do Windows disfarçado como um arquivo de imagem JPG (“IMG-238279780.jpg.exe”), um arquivo em lote oculto e outro arquivo DLL oculto (“WindowsCodecs.dll”).

Caso uma vítima execute o aplicativo, o arquivo DLL malicioso é carregado pelo que chamam de carregamento de DLL para executar o arquivo em lote, enquanto imagens de uma “mulher real em um maiô junto com links para suas contas reais em plataformas de mídia social” são exibidas em um navegador da web para manter o engano.

O arquivo em lote baixa simultaneamente uma imagem JPG (“IMG-238279780.jpg”) do site webhook[.]site, que posteriormente é renomeada para um script CMD (“IMG-238279780.cmd) e executada, após o qual recupera o payload da fase final para coletar informações sobre o host comprometido e enviá-las de volta.

O ataque possui semelhanças com uma campanha anterior que propagava um backdoor personalizado chamado HeadLace.

É importante ressaltar que o abuso de serviços legítimos como Mocky e webhook[.]site é uma tática repetidamente adotada por atores do APT28 para contornar a detecção por software de segurança.

“Se a sua organização não utiliza os serviços mencionados acima, recomendamos que você considere bloquear os domínios acima em dispositivos de borda”, acrescentou a CERT Polska.

O desenvolvimento acontece dias após países da OTAN acusarem o grupo apoiado pelo Kremlin de realizar uma campanha de espionagem cibernética de longo prazo visando suas entidades políticas, instituições estatais e infraestrutura crítica.

As atividades maliciosas do APT28 também se expandiram para visar dispositivos iOS com o spyware XAgent, que foi detalhado pela primeira vez pela Trend Micro em conexão com uma campanha chamada Operação Pawn Storm em fevereiro de 2015.

“Visando principalmente entidades políticas e governamentais na Europa Ocidental, o XAgent possui capacidades para controle remoto e exfiltração de dados”, disse a Symantec, adquirida pela Broadcom.

“Ele pode coletar informações sobre os contatos dos usuários, mensagens, detalhes do dispositivo, aplicativos instalados, capturas de tela e registros de chamadas. Esses dados podem ser potencialmente usados para campanhas de engenharia social ou spear-phishing”.

As informações sobre os ataques do APT28 às entidades polonesas também seguem um aumento nos ataques motivados financeiramente por grupos de cibercrime russos, como o UAC-0006, visando a Ucrânia no segundo semestre de 2023, enquanto organizações na Rússia e Bielorrússia foram alvo de um ator estatal conhecido como Midge para entregar malware capaz de saquear informações sensíveis.