A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) detalhou uma nova campanha de e-mail malicioso visando agências governamentais, empresas e entidades militares.
“As mensagens exploram o apelo da integração de serviços populares como Amazon ou Microsoft e da implementação de uma arquitetura de confiança zero”, disse CERT-UA. “Esses e-mails contêm anexos na forma de arquivos de configuração do Distant Desktop Protocol ('.rdp').”
Uma vez executados, os arquivos RDP estabelecem uma conexão com um servidor remoto, permitindo que os agentes da ameaça obtenham acesso remoto aos hosts comprometidos, roubem dados e plantem malware adicional para ataques subsequentes.
Acredita-se que a preparação da infraestrutura para a atividade esteja em andamento pelo menos desde agosto de 2024, com a agência afirmando que é provável que ela se espalhe da Ucrânia para atingir outros países.
O CERT-UA atribuiu a campanha a um agente de ameaça que rastreia como UAC-0215. A Amazon Internet Service (AWS), em um comunicado próprio, vinculou-a ao grupo de hackers estatal russo conhecido como APT29.
“Alguns dos nomes de domínio que eles usaram tentaram fazer com que os alvos acreditassem que os domínios eram domínios da AWS (eles não eram), mas a Amazon não period o alvo, nem o grupo atrás das credenciais de cliente da AWS”, CJ Moses, chefe de informações da Amazon. oficial de segurança, disse. “Em vez disso, o APT29 buscou as credenciais do Home windows de seus alvos por meio do Microsoft Distant Desktop.”
A gigante da tecnologia disse que também apreendeu os domínios que o adversário usava para se passar pela AWS, a fim de neutralizar a operação. Alguns dos domínios usados pelo APT29 estão listados abaixo –
- ca-west-1.mfa-gov(.)nuvem
- central-2-aws.ua-aws(.)exército
- us-east-2-aws.ua-gov(.)nuvem
- aws-ucrânia.cloud
- aws-data.cloud
- aws-s3.cloud
- aws-il.cloud
- aws-join.cloud
- aws-meet.cloud
- aws-meetings.cloud
- aws-online.cloud
- aws-secure.cloud
- s3-aws(.)nuvem
- s3-fbi(.)nuvem
- s3-nsa(.)nuvem, e
- ponto de prova s3(.)nuvem
O desenvolvimento ocorre no momento em que o CERT-UA também alertou sobre um ataque cibernético em grande escala destinado a roubar informações confidenciais de usuários ucranianos. A ameaça foi catalogada sob o apelido UAC-0218.
O ponto de partida do ataque é um e-mail de phishing contendo um hyperlink para um arquivo RAR armadilhado que pretende ser contas ou detalhes de pagamento.
Presente no arquivo está um malware baseado em Visible Primary Script chamado HOMESTEEL, projetado para exfiltrar arquivos que correspondem a determinadas extensões (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, ” “rtf,” “ods,” “odt,” “eml,” “pst,” “rar” e “zip”) para um servidor controlado pelo invasor.
“Desta forma, os criminosos podem obter acesso a dados pessoais, financeiros e outros dados sensíveis e utilizá-los para chantagem ou roubo”, afirmou o CERT-UA.
Além disso, o CERT-UA alertou sobre uma campanha no estilo ClickFix projetada para enganar os usuários com hyperlinks maliciosos incorporados em mensagens de e-mail para descartar um script PowerShell capaz de estabelecer um túnel SSH, roubar dados de navegadores da net e baixar e iniciar o Metasploit estrutura de teste de penetração.
Os usuários que clicam no hyperlink são direcionados para uma página falsa de verificação do reCAPTCHA que solicita que verifiquem sua identidade clicando em um botão. Esta ação copia o script malicioso do PowerShell (“Browser.ps1”) para a área de transferência do usuário e exibe uma janela pop-up com instruções para executá-lo usando a caixa de diálogo Executar no Home windows.
O CERT-UA disse ter um “nível médio de confiança” de que a campanha é obra de outro ator russo de ameaça persistente avançada conhecido como APT28 (também conhecido como UAC-0001).
As ofensivas cibernéticas contra a Ucrânia ocorrem no meio de um relatório da Bloomberg que detalha como a agência de inteligência militar da Rússia e o Serviço Federal de Segurança (FSB) visaram sistematicamente a infraestrutura e o governo da Geórgia como parte de uma série de intrusões digitais entre 2017 e 2020. Alguns dos ataques foram fixado em Turla.