O ator de ameaça russo apoiado pelo GRU APT28 foi atribuído como responsável por uma série de campanhas direcionadas a redes em toda a Europa com o malware HeadLace e páginas da internet de coleta de credenciais.
APT28, também conhecido pelos nomes BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy e TA422, é um grupo avançado de ameaça persistente (APT) afiliado à unidade estratégica de inteligência militar da Rússia, o GRU.
A equipe de hackers opera com um alto nível de furtividade e sofisticação, muitas vezes demonstrando sua adaptabilidade por meio de profunda preparação e ferramentas personalizadas, e contando com serviços legítimos de Web (LIS) e binários vivos fora da terra (LOLBins) para ocultar suas operações dentro de limites regulares. tráfego de rede.
“De abril a dezembro de 2023, a BlueDelta implantou o malware Headlace em três fases distintas, usando técnicas de geofencing para atingir redes em toda a Europa, com grande foco na Ucrânia”, disse o Insikt Group da Recorded Future.
“As atividades de espionagem da BlueDelta refletem uma estratégia mais ampla destinada a recolher informações sobre entidades com importância militar para a Rússia no contexto da sua agressão contínua contra a Ucrânia.”
HeadLace, conforme documentado anteriormente pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), Zscaler, Proofpoint e IBM X-Pressure, é distribuído por meio de e-mails de spear-phishing contendo hyperlinks maliciosos que, quando clicados, iniciam uma infecção em vários estágios. sequência para eliminar o malware.
Diz-se que a BlueDelta empregou uma cadeia de infraestrutura de sete estágios durante a primeira fase para fornecer um script BAT malicioso do Home windows (ou seja, HeadLace) que é capaz de baixar e executar comandos shell subsequentes, sujeitos a verificações de sandbox e geofencing.
A segunda fase, que começou em 28 de setembro de 2023, é notável por usar o GitHub como ponto de partida da infraestrutura de redirecionamento, enquanto a terceira fase passou a usar scripts PHP hospedados no InfinityFree a partir de 17 de outubro de 2023.
“A última atividade detectada na fase três foi em dezembro de 2023”, disse a empresa. “Desde então, a BlueDelta provavelmente deixou de usar a hospedagem InfinityFree e favoreceu a infraestrutura de hospedagem no webhook(.)web site e mocky(.)io diretamente.”
Descobriu-se também que a BlueDelta realiza operações de coleta de credenciais projetadas para serviços direcionados como o Yahoo! e UKR(.)web, exibindo páginas semelhantes e, em última análise, enganando as vítimas para que insiram suas credenciais.
Outra técnica envolveu a criação de páginas da internet dedicadas no Mocky que interagem com um script Python executado em roteadores Ubiquiti comprometidos para exfiltrar as credenciais inseridas. No início de fevereiro, uma operação policial liderada pelos EUA interrompeu uma botnet composta por Ubiquiti EdgeRouters que foi usada pelo APT28 para esse fim.
Os alvos da actividade de recolha de credenciais incluíam o Ministério da Defesa ucraniano, empresas ucranianas de importação e exportação de armas, infra-estruturas ferroviárias europeias e um grupo de reflexão baseado no Azerbaijão.
“A infiltração bem-sucedida nas redes associadas ao Ministério da Defesa da Ucrânia e aos sistemas ferroviários europeus poderia permitir à BlueDelta reunir informações que potencialmente moldam as táticas de campo de batalha e estratégias militares mais amplas”, disse a Recorded Future.
“Além disso, o interesse da BlueDelta no Centro para o Desenvolvimento Económico e Social do Azerbaijão sugere uma agenda para compreender e possivelmente influenciar as políticas regionais.”
O desenvolvimento ocorre no momento em que outro grupo de ameaças russo patrocinado pelo estado, chamado Turla, foi observado aproveitando convites para seminários de direitos humanos como iscas de e-mail de phishing para executar uma carga útil semelhante ao backdoor TinyTurla usando o Microsoft Construct Engine (MSBuild).
