A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) detalhou uma campanha maliciosa por e-mail direcionada a agências governamentais, empresas e organizações militares.
“O sistema de mensagens aproveita o apelo da integração de serviços populares como Amazon ou Microsoft e usa arquitetura de confiança zero”, disse CERT-UA. “Esses e-mails contêm anexos na forma de arquivos de configuração do Remote Desktop Protocol ('.rdp').”
Depois de extraídos, os arquivos RDP iniciam a comunicação com o servidor remoto, permitindo que atores mal-intencionados obtenham acesso remoto a hosts vulneráveis, roubem dados e plantem malware adicional para atacar.
Acredita-se que a construção da infraestrutura do projeto esteja em andamento pelo menos desde agosto de 2024, afirma a agência, e pode ser dispersada da Ucrânia para outros países.
CERT-UA revelou que a campanha foi atribuída a um ator de ameaça chamado UAC-0215. A Amazon Web Service (AWS), de acordo com sua assessoria, vinculou-a ao grupo de hackers russo conhecido como APT29.
“Alguns dos nomes de domínio que eles usaram tentaram fazer com que o alvo acreditasse que os domínios eram domínios da AWS (não eram), mas a Amazon não era o alvo e o grupo não seguiu as credenciais do cliente da AWS”, CJ Moses , CEO da Amazon. disse o guarda. “Em vez disso, o APT29 buscou suas credenciais do Windows por meio do Microsoft Remote Desktop.”
A gigante da tecnologia disse que também apreendeu domínios que o inimigo estava usando para se passar pela AWS e desacelerar as operações. Outros domínios usados pelo APT29 estão listados abaixo –
- ca-west-1.mfa-gov[.]nuvem
- entre-2-aws.ua-aws[.]exército
- us-east-2-aws.ua-gov[.]nuvem
- aws-ucrânia.cloud
- aws-data.cloud
- aws-s3.cloud
- aws-il.cloud
- aws-join.cloud
- aws-meet.cloud
- aws-meetings.cloud
- aws-online.cloud
- aws-secure.cloud
- s3 ah[.]nuvem
- s3-fbi[.]nuvem
- s3 quando[.]nuvem também
- evidência s3[.]nuvem
O desenvolvimento ocorre no momento em que o CERT-UA também alerta sobre um grande ataque cibernético destinado a roubar informações privadas de usuários ucranianos. A ameaça está catalogada sob o apelido UAC-0218.
O ponto de partida do ataque é um e-mail de phishing que contém um link para um arquivo RAR criptografado que pretende ser informação de crédito ou pagamento.
Incluído no arquivo está um malware baseado em Visual Basic Script chamado HOMESTEEL, projetado para extrair arquivos com determinadas extensões (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, ” “rtf”, “ods”, “odt”, “eml”, “pst”, “rar” e “zip”) em um servidor controlado pelo invasor.
“Desta forma, os criminosos podem obter acesso a dados pessoais, financeiros e outros dados sensíveis e utilizá-los para fraude ou roubo”, afirmou o CERT-UA.
Além disso, o CERT-UA alertou sobre uma campanha no estilo ClickFix projetada para enganar os usuários em links maliciosos incorporados em mensagens de e-mail para liberar um script PowerShell capaz de estabelecer um túnel SSH, roubar dados de navegadores da web e baixar e executar o Metasploit. estrutura de teste de penetração.
Os usuários que clicam no link são direcionados para uma página falsa de verificação do reCAPTCHA que solicita que confirmem sua identidade clicando em um botão. Esta ação copia um script malicioso do PowerShell (“Browser.ps1”) para a área de transferência do usuário e exibe uma janela pop-up com instruções para executá-lo usando a caixa de diálogo Executar no Windows.
O CERT-UA disse ter um “nível razoável de confiança” de que a campanha é obra de outro ator russo persistente conhecido como APT28 (também conhecido como UAC-0001).
O ataque cibernético contra a Ucrânia ocorre no meio de um relatório da Bloomberg que detalha como a agência de inteligência militar da Rússia e o Serviço Federal de Segurança (FSB) visaram sistematicamente a infra-estrutura e o governo da Geórgia como parte de uma série de invasões digitais entre -2017 e 2020. Outro ataque foi atribuído a Turla.
