Hackers Russos Visam a Europa com Malware HeadLace e Coleta de Credenciais

O grupo de ameaças APT28, também conhecido por vários outros nomes, como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, é um grupo de ameaças persistentes avançadas (APT) afiliado à unidade de inteligência militar estratégica da Rússia, o GRU. A APT28 é conhecida por sua alta furtividade e sofisticação, demonstrando sua adaptabilidade por meio de preparação profunda e ferramentas personalizadas, além de depender de serviços legítimos da internet (LIS) e binários off-the-land (LOLBins) para ocultar suas operações dentro do tráfego regular da rede. O grupo tem atribuído uma série de campanhas de ataque cibernético visando redes em toda a Europa com o malware HeadLace e páginas da web de roubo de credenciais. O HeadLace é distribuído por e-mails de spear-phishing contendo links maliciosos que, quando clicados, iniciam uma sequência de infecção em várias etapas para deixar o malware. O BlueDelta foi encontrado realizando operações de roubo de credenciais visando serviços como Yahoo! e UKR.net, criando páginas da web dedicadas no Mocky que interagem com um script Python em roteadores Ubiquiti comprometidos para extrair as credenciais inseridas. Além disso, o grupo foi detectado atacando o Ministério da Defesa da Ucrânia, empresas de importação e exportação de armas ucranianas, infraestrutura ferroviária europeia e um think tank baseado no Azerbaijão. A atividade de roubo de credenciais foi interrompida por uma operação de aplicação da lei liderada pelos EUA que desativou um botnet composto por roteadores Ubiquiti que APT28 utilizava para este fim. A APT28 tem como alvo a obtenção de inteligência que potencialmente pode moldar táticas de batalha e estratégias militares mais amplas, bem como influenciar políticas regionais. Além disso, um outro grupo de ameaças patrocinado por estado, chamado Turla, foi observado usando convites para seminários de direitos humanos como isca de e-mails de phishing para executar uma carga maliciosa semelhante à backdoor TinyTurla usando o Motor de Compilação da Microsoft (MSBuild).