Threats

Grupo de ciberespionagem russo visa sistemas de troca de informações entre países da UE

O grupo de ciberespionagem APT29 aproveitou a mais recente visita do ministro dos negócios estrangeiros da Polónia aos EUA como pretexto para enviar emails de phishing com documentos maliciosos aos governos europeus

18/03/2023

Grupo de ciberespionagem russo visa sistemas de troca de informações entre países da UE

Um grupo de ciberespionagem APT foi observado a abusar de dois sistemas legítimos de troca de informações utilizados por países europeus, avançou a BlackBerry. O grupo APT29, que os especialistas dizem estar ligado à Rússia, foca-se maioritariamente em ciberespionagem e acredita-se serem patrocinados pelo Estado, através do Serviço de Inteligência Estrangeiro (SVR, na sigla em russo). O grupo também foi denominado Cozy Bear, Dukes, Nobelium e Yttrium. 

Na sua mais recente campanha, o grupo foi visto a enviar emails de phishing com documentos maliciosos anexados a governos da União Europeia, utilizando a recente visita do ministro dos negócios estrangeiros da Polónia aos EUA como pretexto. “Com base na atual situação geopolítica envolvendo a invasão da Ucrânia pela Rússia, a visita do embaixador da Polónia nos EUA e sua talk sobre a guerra, e o abuso do sistema online usado para trocar documentos dentro da União Europeia, acreditamos que o alvo da campanha do Nobelium são os países ocidentais, especialmente os da Europa Ocidental, que fornecem ajuda à Ucrânia”, observa BlackBerry.

O documento inclui um link que leva a um arquivo HTML hospedado num site de uma biblioteca comprometido no El Salvador. O ficheiro é um dropper do APT29 chamado RootSaw e EnvyScout. Depois, um ISO é “dropped” do domínio. A imagem contém dois ficheiros, um link (.lnk) e uma biblioteca DLL. Quando executada, a DLL consegue ganhar resistência através de uma chave de registo recém-criada e começa a colecionar informações sobre o sistema de destino, que envia posteriormente para o seu servidor de command and control (C&C).

Mais, a BlackBerry afirma que os cibercriminosos também se têm aproveitado de sistemas legítimos como o LegisWrite e eTrustEx – dois serviços oficiais utilizados para partilhar dados entre os governos europeus. “O LegisWrite é um programa de edição que permite a criação, revisão e intercâmbio seguro de documentos entre governos dentro da União Europeia. O facto de o LegisWrite ser utlizado como isca maliciosa indica que o ator de ameaça por trás está a visar especificamente organizações estatais dentro da União Europeia”, dizem os peritos da BlackBerry.

O grupo abusa da API de uma aplicação de notas chamada Notion for C&C, comumente utilizada, que permite disfarçar a sua atividade.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.