Threats
O grupo de ciberespionagem APT29 aproveitou a mais recente visita do ministro dos negócios estrangeiros da Polónia aos EUA como pretexto para enviar emails de phishing com documentos maliciosos aos governos europeus
18/03/2023
Um grupo de ciberespionagem APT foi observado a abusar de dois sistemas legítimos de troca de informações utilizados por países europeus, avançou a BlackBerry. O grupo APT29, que os especialistas dizem estar ligado à Rússia, foca-se maioritariamente em ciberespionagem e acredita-se serem patrocinados pelo Estado, através do Serviço de Inteligência Estrangeiro (SVR, na sigla em russo). O grupo também foi denominado Cozy Bear, Dukes, Nobelium e Yttrium. Na sua mais recente campanha, o grupo foi visto a enviar emails de phishing com documentos maliciosos anexados a governos da União Europeia, utilizando a recente visita do ministro dos negócios estrangeiros da Polónia aos EUA como pretexto. “Com base na atual situação geopolítica envolvendo a invasão da Ucrânia pela Rússia, a visita do embaixador da Polónia nos EUA e sua talk sobre a guerra, e o abuso do sistema online usado para trocar documentos dentro da União Europeia, acreditamos que o alvo da campanha do Nobelium são os países ocidentais, especialmente os da Europa Ocidental, que fornecem ajuda à Ucrânia”, observa BlackBerry. O documento inclui um link que leva a um arquivo HTML hospedado num site de uma biblioteca comprometido no El Salvador. O ficheiro é um dropper do APT29 chamado RootSaw e EnvyScout. Depois, um ISO é “dropped” do domínio. A imagem contém dois ficheiros, um link (.lnk) e uma biblioteca DLL. Quando executada, a DLL consegue ganhar resistência através de uma chave de registo recém-criada e começa a colecionar informações sobre o sistema de destino, que envia posteriormente para o seu servidor de command and control (C&C). Mais, a BlackBerry afirma que os cibercriminosos também se têm aproveitado de sistemas legítimos como o LegisWrite e eTrustEx – dois serviços oficiais utilizados para partilhar dados entre os governos europeus. “O LegisWrite é um programa de edição que permite a criação, revisão e intercâmbio seguro de documentos entre governos dentro da União Europeia. O facto de o LegisWrite ser utlizado como isca maliciosa indica que o ator de ameaça por trás está a visar especificamente organizações estatais dentro da União Europeia”, dizem os peritos da BlackBerry. O grupo abusa da API de uma aplicação de notas chamada Notion for C&C, comumente utilizada, que permite disfarçar a sua atividade. |