Google: hackers russos atacam ucranianos e aliados europeus por meio de ataques de phishing

O Grupo de Análise de Ameaças do Google (TAG) disse que derrubou dois domínios do Blogspot que foram usados ​​pelo grupo de estado-nação FancyBear (também conhecido como APT28) – que é atribuído à inteligência militar GRU da Rússia – como uma página de destino para seus ataques de engenharia social.

A divulgação vem logo após um aviso da Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) alertando sobre campanhas de phishing direcionadas a usuários do Ukr.net que envolvem o envio de mensagens de contas comprometidas contendo links para páginas de coleta de credenciais controladas por invasores.

Outro grupo de atividades de ameaças diz respeito aos usuários de webmail de Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua e i.ua, que foram alvo de ataques de phishing por um agente de ameaças bielorrusso rastreado como Ghostwriter (também conhecido como UNC1151).

O grupo de hackers também “conduziu campanhas de phishing de credenciais na semana passada contra o governo polonês e ucraniano e organizações militares”, disse Shane Huntley, diretor do Google TAG, em um relatório.

Mas não são apenas a Rússia e a Bielorrússia que estão de olho na Ucrânia e na Europa. Incluído na mistura está um agente de ameaças baseado na China conhecido como Mustang Panda (também conhecido como TA416 ou RedDelta) tentando plantar malware em “entidades europeias direcionadas com iscas relacionadas à invasão ucraniana”.

Separadamente, o CERT-UA divulgou detalhes de um ataque cibernético realizado pelo grupo UNC1151 destinado a organizações estatais ucranianas usando um malware chamado MicroBackdoor que é entregue a sistemas comprometidos na forma de arquivo de ajuda HTML compilado da Microsoft (“dovidka.chm”).

As descobertas também foram corroboradas separadamente pela empresa de segurança corporativa Proofpoint, que detalhou uma campanha TA416 de vários anos contra entidades diplomáticas na Europa a partir do início de novembro de 2021, contando um “indivíduo envolvido em serviços de refugiados e migrantes” em 28 de fevereiro de 2022.

A sequência de infecção envolveu a incorporação de um URL malicioso em uma mensagem de phishing usando um endereço de e-mail comprometido de um diplomata de um país europeu da OTAN, que, quando clicado, entregava um arquivo que incorporava um conta-gotas que, por sua vez, baixava um documento chamariz para recuperar o malware PlugX em estágio final.

As divulgações ocorrem como uma enxurrada de ataques distribuídos de negação de serviço (DDoS) que bombardearam vários sites da Ucrânia, como aqueles associados ao Ministério da Defesa, Relações Exteriores, Assuntos Internos e serviços como o Liveuamap.

“Hackers russos continuam atacando recursos de informação ucranianos sem parar”, disse o Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia (SSSCIP) em um tweet no fim de semana.

“Os ataques [DDoS] mais poderosos ultrapassaram 100 Gbps em seu pico. Apesar de todos os recursos do inimigo envolvido, os sites dos órgãos governamentais centrais estão disponíveis.”

Em um desenvolvimento relacionado, o coletivo de hackers Anonymous alegou que derrubou o site do Serviço Federal de Segurança da Rússia e que interrompeu as transmissões ao vivo de vários canais de TV russos e serviços de streaming como Wink, Ivi, Russia 24, Channel One e Moscou 24 para transmitir imagens de guerra da Ucrânia.

A onda de contra-ataques contra a Rússia foi galvanizada pela formação de um Exército de TI, uma iniciativa do governo ucraniano de crowdsourcing que depende da guerra digital para interromper o governo russo e alvos militares.

O desenvolvimento também segue a decisão da Rússia de banir o Facebook e estrangular outras plataformas de mídia social amplamente usadas no país, assim como as empresas de tecnologia dos EUA passaram a cortar os laços com a Rússia, criando efetivamente uma cortina de ferro e restringindo o acesso online.

Fonte: https://thehackernews.com/