Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais Agora é possivel

O grupo de hackers patrocinado pelo estado russo 'APT29' (também conhecido como Nobelium, Cloaked Ursa) tem usado iscas não convencionais, como listas de carros, para induzir diplomatas na Ucrânia a clicar em links maliciosos que fornecem malware.

O APT29 está vinculado ao Serviço de Inteligência Estrangeira (SVR) do governo russo e tem sido responsável por inúmeras campanhas de ciberespionagem visando indivíduos de alto interesse em todo o mundo.

Nos últimos dois anos, os hackers russos se concentraram nos alvos da OTAN, da UE e da Ucrânia, usando e-mails e documentos de phishing com tópicos de política externa, juntamente com sites falsos para infectar seus alvos com backdoors furtivos.

Um relatório publicado hoje pela equipe da Unidade 42 da Palo Alto Network explica que o APT29 desenvolveu suas táticas de phishing, usando iscas mais pessoais para o destinatário do e-mail de phishing.

Carros de luxo em Kyiv

Em uma das mais recentes operações APT29 detectadas pela Unidade 42, iniciada em maio de 2023, os agentes de ameaças usam um anúncio de carro BMW para atingir diplomatas na capital da Ucrânia, Kiev.

O panfleto de venda foi enviado para os endereços de e-mail do diplomata, imitando uma venda de carro legítima circulada duas semanas antes por um diplomata polonês que se preparava para deixar a Ucrânia.

Folheto malicioso enviado por APT29 (Unidade 42)

Quando os destinatários clicam no link "mais fotos de alta qualidade" embutido no documento malicioso, eles são redirecionados para uma página HTML que fornece cargas de arquivos ISO maliciosos por meio de contrabando de HTML.

O contrabando de HTML é uma técnica usada em campanhas de phishing que usam HTML5 e JavaScript para ocultar cargas maliciosas em strings codificadas em um anexo ou página da Web em HTML. Essas strings são então decodificadas por um navegador quando um usuário abre o anexo ou clica em um link.

O uso dessa técnica ajuda a evitar o software de segurança, pois o código malicioso é ofuscado e decodificado apenas na renderização no navegador.

O arquivo ISO contém o que parecem ser nove imagens PNG, mas são, na realidade, arquivos LNK que acionam a cadeia de infecção mostrada no diagrama abaixo.

Cadeia de infecção observada (Unidade 42)

Quando a vítima abre qualquer um dos arquivos LNK que se apresentam como imagens PNG, ela inicia um executável legítimo que usa carregamento lateral de DLL para injetar shellcode no processo atual na memória.

Arquivos PNG falsos contidos no arquivo ISO (Unidade 42)

A Unidade 42 relata que esta campanha teve como alvo pelo menos 22 das 80 missões estrangeiras em Kiev, incluindo as dos Estados Unidos, Canadá, Turquia, Espanha, Holanda, Grécia, Estônia e Dinamarca. No entanto, a taxa de infecção permanece desconhecida.

Aproximadamente 80% dos endereços de e-mail que receberam o flyer malicioso estavam publicamente disponíveis online, enquanto o APT29 deve ter obtido os outros 20% por meio de comprometimento de conta e coleta de inteligência.

Embaixadas visadas na Ucrânia (Unidade 42)

Outro exemplo recente da prontidão do APT29 para explorar incidentes do mundo real para phishing é um PDF enviado ao Ministério das Relações Exteriores da Turquia (MFA) no início de 2023, orientando a assistência humanitária para o terremoto que atingiu o sul da Turquia em fevereiro.

A Unidade 42 comenta que o PDF malicioso provavelmente foi compartilhado entre os funcionários da MFA e encaminhado para outras organizações turcas, já que o ataque aproveitou o excelente momento.

Como o conflito na Ucrânia persiste e os desenvolvimentos em evolução dentro da OTAN ameaçam alterar o cenário geopolítico, espera-se que os grupos de espionagem cibernética russa continuem e até intensifiquem seus esforços para atingir missões diplomáticas.

Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/russian-state-hackers-lure-western-diplomats-with-bmw-car-ads/

Fonte: https://www.bleepingcomputer.com

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #hackers #estatais #russos #atraem #diplomatas #ocidentais #com #anúncios #de #carros #da #bmw

Post a Comment