.
O grupo de ameaças APT28, apoiado pelo Kremlin, está inundando as agências do governo ucraniano com mensagens de e-mail sobre falsas atualizações do Windows na esperança de lançar malware que exfiltrará os dados do sistema.
De acordo com a Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA), o grupo de ameaças persistentes avançadas (APT) – também conhecido como Fancy Bear, Strontium e Sofacy, entre outros nomes – e-mails enviados durante todo o mês de abril com “Windows Update” na linha de assunto. As mensagens pareciam ter sido enviadas por administradores de sistema de agências governamentais.
“Endereços de e-mail de remetentes criados no serviço público ‘@outlook.com’ podem ser formados usando o sobrenome real e as iniciais do funcionário”, escreveu o CERT-UA em uma breve nota online.
Dentro das mensagens estão instruções escritas em ucraniano para atualizar o sistema operacional da Microsoft “contra ataques de hackers” e ilustrações mostrando como iniciar uma linha de comando e executar um comando do PowerShell.
A execução do comando simula uma atualização do Windows, mas na verdade baixa e executa um script do PowerShell que coleta informações básicas do sistema sobre o uso de comandos como “tasklist” e “systeminfo”. As informações são enviadas por meio de uma solicitação HTTP para Mocky – um serviço que zomba de APIs para ajudar os desenvolvedores a testar aplicativos.
O CERT-UA aconselhou as agências governamentais a restringir os usuários de executar o PowerShell e a monitorar as conexões de rede com o Mocky.
O notório grupo APT28 existe desde 2008. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) e fornecedores de segurança como Secureworks e Mandiant, de propriedade do Google, vinculam-no à agência de inteligência GRU da Rússia.
No passado, o Fancy Bear teve como alvo agências governamentais e militares e entidades privadas nos EUA, Europa Ocidental e América do Sul, usando phishing e golpes semelhantes. Em 2018, o Departamento de Justiça dos EUA acusou sete agentes do GRU por seus papéis nos ataques APT28.
Dois anos depois, os EUA e o Reino Unido acusaram o APT28 e outro grupo ligado à Rússia, o APT29 – ou Cozy Bear – de tentar roubar informações sobre as vacinas COVID-19.
Mais recentemente, o APT28 tem atuado na Ucrânia na frente cibernética da invasão ilegal russa de seu vizinho. Malwarebytes, Google e CERT-UA descobriram que o grupo estava por trás de um esquema para remover malware de roubo de informações usando o Follina exploit.
Agências dos EUA e do Reino Unido disseram em uma declaração conjunta de abril de 2023 APT28 explorado um falha mais antiga em roteadores Cisco não corrigidos para roubar dados de rede dos governos dos EUA e da Europa, bem como cerca de 250 dispositivos de rede ucranianos.
Um grupo hacktivista ucraniano chamado Kiber Sprotyv (“Resistência Cibernética”) no mês passado supostamente contestou o APT 28 acessando as contas pessoais de Sergey Alexandrovich Morgachev, membro do GRU e suposto chefe do grupo de hackers. ®
.
