Você está visualizando atualmente Campanha Maliciosa de Grande Escala do APT28 Apoiado pelo Kremlin Visando Instituições Polonesas

Campanha Maliciosa de Grande Escala do APT28 Apoiado pelo Kremlin Visando Instituições Polonesas

Instituições governamentais polonesas foram alvo de uma campanha de malware em larga escala orquestrada por um ator estatal ligado à Rússia conhecido como APT28.

“A campanha enviou e-mails com conteúdo destinado a despertar o interesse do destinatário e persuadi-lo a clicar no link”, disse a equipe de resposta a emergências cibernéticas, CERT Polska, em um boletim divulgado na quarta-feira.

Ao clicar no link, a vítima é redirecionada para o domínio run.mocky[.]io, que, por sua vez, é usado para redirecionar para outro site legítimo chamado webhook[.]site, um serviço gratuito que permite aos desenvolvedores inspecionar os dados enviados via webhook, na tentativa de evitar a detecção.

O próximo passo envolve o download de um arquivo ZIP do site webhook[.]site, que contém o binário da Calculadora do Windows disfarçado como um arquivo de imagem JPG (“IMG-238279780.jpg.exe”), um arquivo de script em lote oculto e outro arquivo DLL oculto (“WindowsCodecs.dll”).

Caso a vítima execute o aplicativo, o arquivo DLL malicioso é carregado por meio de uma técnica chamada de carregamento lateral de DLL para eventualmente executar o script em lote, enquanto imagens de uma “mulher real em trajes de banho, juntamente com links de suas contas reais em plataformas de mídia social” são exibidas em um navegador da web para manter o disfarce.

O script em lote simultaneamente baixa uma imagem JPG (“IMG-238279780.jpg”) do site webhook[.]site que posteriormente é renomeada para um script CMD (“IMG-238279780.cmd) e executada, seguindo a qual ele recupera a carga de estágio final para reunir informações sobre o host comprometido e enviar os detalhes de volta.

O CERT Polska disse que a cadeia de ataque apresenta semelhanças com uma campanha anterior que propagou um backdoor personalizado chamado HeadLace.

Vale ressaltar que o abuso de serviços legítimos como Mocky e webhook[.]site é uma tática repetidamente adotada por atores da APT28 para contornar a detecção de software de segurança.

“Se sua organização não utilizar os serviços mencionados acima, recomendamos que considere bloquear os domínios mencionados nos dispositivos de borda”, acrescentou.

O desenvolvimento ocorre dias após países da OTAN terem acusado o grupo apoiado pelo Kremlin de realizar uma campanha de espionagem cibernética em longo prazo visando suas entidades políticas, instituições estatais e infraestrutura crítica.

As atividades maliciosas da APT28 também se expandiram para visar dispositivos iOS com o spyware XAgent, que foi detalhado pela primeira vez pela Trend Micro em conexão com uma campanha denominada Operação Pawn Storm em fevereiro de 2015.

Os ataques da APT28 às entidades polonesas também seguem um aumento nos ataques motivados financeiramente por grupos de e-crime russos, como o UAC-0006, direcionando a Ucrânia na segunda metade de 2023, mesmo quando organizações na Rússia e Bielorrússia foram alvo de um ator estatal conhecido como Midge para fornecer malware capaz de saquear informações sensíveis.