A inteligência russa visa vítimas em todo o mundo em ataques cibernéticos rápidos

Os hackers estatais russos estão realizando campanhas de phishing direcionadas em pelo menos nove países espalhados por quatro continentes. Os seus e-mails promovem negócios oficiais do governo e, se forem bem sucedidos, ameaçam não apenas dados organizacionais sensíveis, mas também inteligência geopolítica de importância estratégica.

Uma trama tão sofisticada e multifacetada só poderia ser forjada por um grupo tão prolífico quanto Oxo extravagante (também conhecido como APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 e muitos outros apelidos ainda), que o IBM X-Force rastreia como ITG05 em um novo relatório.

Além das convincentes iscas com tema governamental e três novas variantes de backdoors personalizadas, a campanha se destaca principalmente pelas informações que visa: a Fancy Bear parece ter como objetivo informações altamente específicas de uso para o governo russo.

Iscas de phishing do governo

A Fancy Bear utilizou pelo menos 11 iscas exclusivas em campanhas direcionadas a organizações na Argentina, Ucrânia, Geórgia, Bielo-Rússia, Cazaquistão, Polônia, Armênia, Azerbaijão e Estados Unidos.

As iscas parecem documentos oficiais associados a governos internacionais, cobrindo temas tão vastos como finanças, infra-estruturas críticas, compromissos executivos, cibersegurança, segurança marítima, cuidados de saúde e produção industrial de defesa.

Alguns deles são documentos legítimos e acessíveis ao público. Outros, curiosamente, parecem ser internos a agências governamentais específicas, levantando a questão de como a Fancy Bear colocou as mãos neles.

“A X-Force não tem informações sobre se o ITG05 comprometeu com sucesso as organizações personificadas”, observa Claire Zaboeva, caçadora de ameaças da IBM X-Force. “Como é possível que o ITG05 tenha aproveitado o acesso não autorizado para coletar documentos internos, notificamos todas as partes imitadas da atividade antes da publicação como parte de nossa Política de Divulgação Responsável.”

Alternativamente, o Fancy Bear/ITGO5 pode ter apenas imitado arquivos reais. “Por exemplo, alguns dos documentos descobertos apresentam erros visíveis, como erros ortográficos nos nomes das principais partes no que parecem ser contratos oficiais do governo”, disse ela.

Um motivo potencial?

Outra qualidade importante dessas iscas é que elas são bastante específicas.

Exemplos em inglês incluem um documento de política de segurança cibernética de uma ONG georgiana e um itinerário de janeiro detalhando o Encontro e Exercício Bell Buoy de 2024 (XBB24) para participantes do Grupo de Trabalho de Transporte do Oceano Índico Pacífico da Marinha dos EUA (PACIOSWG).

E há os atrativos com temática financeira: um documento bielorrusso com recomendações para a criação de condições comerciais para facilitar as empresas interestaduais até 2025, em alinhamento com uma iniciativa da União Económica Eurasiática, um documento de política orçamental do Ministério da Economia argentino que oferece “diretrizes estratégicas” para ajudar o presidente com a política econômica nacional e muito mais nesse sentido.

“É provável que a recolha de informações sensíveis sobre questões orçamentais e a postura de segurança de entidades globais seja um alvo de alta prioridade, dado o espaço de missão estabelecido do ITG05”, disse a X-Force no seu relatório sobre a campanha.

A Argentina, por exemplo, rejeitou recentemente um convite para aderir à organização comercial BRICS (Brasil, Rússia, Índia, China, África do Sul), portanto “é possível que o ITG05 procure obter acesso que possa fornecer informações sobre as prioridades do governo argentino ”, disse X-Force.

Atividade Pós-Exploração

Além da especificidade e da aparência de legitimidade, os agressores usam mais um truque psicológico para enredar as vítimas: apresentar-lhes inicialmente apenas uma versão borrada do documento. Como na imagem abaixo, os destinatários podem ver detalhes suficientes para fazer com que esses documentos pareçam oficiais e importantes, mas não o suficiente para evitar clicar neles.

Exemplo de documento de isca; Fonte: IBM

Quando as vítimas em sites controlados por invasores clicam para visualizar os documentos da isca, elas baixam um backdoor Python chamado “Masepie”. Descoberto pela primeira vez em dezembro, é capaz de estabelecer persistência em uma máquina Windows e permitir o download e upload de arquivos e a execução arbitrária de comandos.

Um dos arquivos que o Masepie baixa para máquinas infectadas é o “Oceanmap”, uma ferramenta baseada em C# para execução de comandos por meio do Internet Message Access Protocol (IMAP). A variante original do Oceanmap – não a usada aqui – tinha funcionalidade de roubo de informações que desde então foi extirpada e transferida para “Steelhook”, a outra carga útil baixada pelo Masepie associada a esta campanha.

Steelhook é um script do PowerShell cuja função é exfiltrar dados do Google Chrome e do Microsoft Edge por meio de um webhook.

Mais notável que seu malware é a ação imediata do Fancy Bear. Como descrita pela primeira vez pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), as infecções do Fancy Bear com a primeira hora de pouso na máquina da vítima baixam backdoors e conduzem reconhecimento e movimento lateral por meio de hashes NTLMv2 roubados para ataques de retransmissão.

Portanto, as potenciais vítimas precisam de agir rapidamente ou, melhor ainda, preparar-se antecipadamente para as suas infecções. Eles podem fazer isso seguindo a longa lista de recomendações da IBM: monitoramento de e-mails com URLs servidos pelo provedor de hospedagem da Fancy Bear, FirstCloudIT, e tráfego IMAP suspeito para servidores desconhecidos, abordando suas vulnerabilidades favoritas – como CVE-2024-21413, CVE-2024 -21410, CVE-2023-23397, CVE-2023-35636 – e muito mais.

“O ITG05 continuará a alavancar ataques contra governos mundiais e o seu aparelho político para fornecer à Rússia uma visão avançada sobre decisões políticas emergentes”, concluíram os investigadores.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks