O grupo apoiado pela Rússia por trás do infame ataque à SolarWinds tem como alvo “um número surpreendente” de diplomatas estrangeiros que trabalham em embaixadas na Ucrânia com iscas que são um pouco mais pessoais do que a tradicional tarifa política normalmente usada para atraí-los a clicar em links maliciosos.
Pesquisadores da Unidade 42 da Palo Alto Networks observaram o grupo – que eles rastreiam como Cloaked Ursa, mas que é mais conhecido como Nobelium/APT29 – um veículo para se locomover.
A atração inicial na campanha parecia usar um panfleto legítimo para a venda de um sedã BMW usado em Kiev que foi espalhado para várias embaixadas por um diplomata dentro do Ministério das Relações Exteriores polonês. Embora pareça bastante inocente, a venda de um carro confiável de um diplomata de confiança – especialmente em uma área devastada pela guerra como a Ucrânia – poderia definitivamente chamar a atenção de um recém-chegado ao local, observaram os pesquisadores.
Isso é algo que a Cloaked Ursa apontou como uma oportunidade, reaproveitando o panfleto para criar seu próprio ilegítimo, que o grupo enviou para várias missões diplomáticas duas semanas depois como isca em sua campanha de malware. O grupo incluiu na mensagem um link malicioso, dizendo que os alvos podem encontrar mais fotos do carro lá. As vítimas encontram mais do que apenas fotos se clicarem no link, que executa malware silenciosamente em segundo plano enquanto a imagem selecionada é exibida na tela da vítima.
A carga útil da campanha é um malware baseado em JavaScript que dá aos invasores um backdoor pronto para espionagem no sistema da vítima e a capacidade de carregar mais código malicioso por meio de uma conexão de comando e controle (C2).
A ameaça persistente avançada (APT) mostrou premeditação para gerar sua lista de alvos, usando endereços de e-mail de embaixada disponíveis publicamente para cerca de 80% das vítimas visadas, e endereços de e-mail não publicados não encontrados na Web superficial para os outros 20%. Isso provavelmente “maximizaria seu acesso às redes desejadas”, de acordo com a Unidade 42.
Os pesquisadores observaram Cloaked Ursa empunhando a campanha contra 22 das 80 missões estrangeiras na Ucrânia, mas o número real de alvos provavelmente é maior, disseram eles.
“Isso é impressionante em escopo para o que geralmente são operações de APT de escopo restrito e clandestino”, de acordo com a Unidade 42.
Uma mudança nas táticas cibernéticas de malware
É um pivô estratégico de usar assuntos relacionados a seus trabalhos como isca, revelaram pesquisadores em um post publicado nesta semana.
“Essas iscas não convencionais são projetadas para atrair o receptor a abrir um anexo com base em suas próprias necessidades e desejos, em vez de como parte de suas tarefas rotineiras”, escreveram os pesquisadores.
Essa mudança nas táticas de atração pode ser um movimento para aumentar o fator de sucesso da campanha não apenas para comprometer o alvo inicial, mas também outros dentro da mesma organização, estendendo assim seu alcance, sugeriram os pesquisadores.
“As iscas em si são amplamente aplicáveis em toda a comunidade diplomática e, portanto, podem ser enviadas e encaminhadas para um maior número de alvos”, escreveram no post.
Cloaked Ursa/Nobelium/APT29, é um grupo patrocinado pelo Estado associado ao Serviço de Inteligência Estrangeira da Rússia (SVR), talvez seja mais conhecido pelo ataque SolarWinds, que começou com um backdoor descoberto em dezembro de 2020 que se espalhou para cerca de 18.000 organizações por meio de atualizações de software infectadas – e ainda está tendo um impacto em toda a cadeia de suprimentos de software.
O grupo permaneceu consistentemente ativo desde então, montando uma série de ataques que se alinham com a posição geopolítica geral da Rússia contra vários ministérios das Relações Exteriores e diplomatas, e o governo dos EUA. Um denominador comum entre os incidentes é a sofisticação nas táticas e no desenvolvimento de malware personalizado.
A Unidade 42 observou semelhanças com outras campanhas conhecidas da Cloaked Ursa, incluindo os alvos do ataque, e o código se sobrepõe a outros malwares conhecidos do grupo.
Mitigação de ataques cibernéticos da APT à sociedade civil
Os pesquisadores ofereceram alguns conselhos para as pessoas em missões diplomáticas para evitar serem vítimas de ataques sofisticados e inteligentes de APTs como Cloaked Ursa. Uma delas é que os administradores treinem diplomatas recém-designados sobre as ameaças de segurança cibernética para a região antes de sua chegada.
Funcionários do governo ou empresas em geral devem sempre ser cautelosos com downloads, mesmo de sites aparentemente inócuos ou legítimos, bem como tomar precauções extras para observar o redirecionamento de URL ao usar serviços de encurtamento de URL, pois isso pode ser uma marca registrada de um ataque de phishing.
As pessoas também devem prestar muita atenção aos anexos de e-mails para evitar serem vítimas de phishing, disseram os pesquisadores. Eles devem verificar os tipos de extensão de arquivo para garantir que o arquivo que estão abrindo é o que desejam, evitando arquivos com extensões que não correspondem ou tentam ofuscar a natureza do arquivo.
Por fim, os pesquisadores sugeriram que os funcionários diplomáticos desativassem o JavaScript como regra, o que tornaria qualquer malware baseado na linguagem de programação incapaz de ser executado.
FONTE: DARK READING