Hackers bielorrussos visam o Ministério da Defesa da Ucrânia em nova campanha de espionagem

Eles atribuíram os ataques ao agente ameaçador Ghostwriter, um grupo ligado à Bielorrússia conhecido pelos seus ataques à Ucrânia, Lituânia, Letónia e Polónia. Na última campanha, observada em abril por pesquisadores da empresa de segurança cibernética Cyble, os hackers enviaram e-mails de phishing aos seus alvos com um anexo que continha arquivos de imagens de drones e uma planilha maliciosa do Microsoft Excel.

Os pesquisadores disseram que identificaram supostas vítimas com base no conteúdo de documentos de isca.

Quando as vítimas abrem o arquivo .xls, um botão chamado “Ativar conteúdo” aparece na tela, explicou Cyble no relatório divulgado na terça-feira. Uma vez clicado, ele executa uma macro VBA incorporada ao documento, permitindo que os hackers entreguem cargas maliciosas, roubem dados e obtenham acesso não autorizado aos sistemas.

Durante a análise, Cyble não conseguiu recuperar a carga final, mas disse que possivelmente inclui AgentTesla, beacons Cobalt Strike e njRAT, como visto em campanhas anteriores do Ghostwriter.

O Ghostwriter, também rastreado como UNC1151 e Storm-0257, está ativo pelo menos desde 2017. Anteriormente, ele tinha como alvo militares ucranianos e serviços do governo polonês . O grupo realiza principalmente operações de phishing que roubam credenciais de login de e-mail, comprometem sites e distribuem malware.

Pesquisadores da Cyble disseram que o Ghostwriter tem como alvo persistente a Ucrânia e continua atualizando suas técnicas para evitar a detecção. Nas últimas campanhas, a principal motivação do grupo provavelmente foi roubar informações e obter acesso remoto a sistemas infectados.

Também na terça-feira, a Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) alertou sobre ataques cibernéticos contra militares e serviços de defesa ucranianos usando malware DarkCrystal, que poderia permitir que invasores obtivessem acesso remoto ao dispositivo da vítima.

O agente da ameaça rastreado como UAC-0200 usou o aplicativo de mensagens Signal para entregar arquivos maliciosos às suas vítimas. Os hackers se passaram por pessoas que os usuários-alvo poderiam conhecer para fazer com que suas mensagens parecessem mais confiáveis.

Segundo o CERT-UA, os cibercriminosos enviaram às suas vítimas um arquivo e uma palavra-passe de acesso, instando-as a abri-lo apenas nos seus computadores.

O número de incidentes contra a Ucrânia tem crescido constantemente nos últimos dois anos e os hackers estão a melhorar a sua capacidade de ataque, afirmou o CERT-UA num relatório divulgado em maio.

Eles exploram as vulnerabilidades mais recentes e alinham seus ataques com tendências e notícias para “aumentar a atenção e a potencial complacência dos alvos. Os militares ucranianos, bem como a infraestrutura crítica do país, estão entre os alvos mais frequentes dos hackers, segundo o relatório.