🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A adoção de inteligência artificial (IA) por hackers russos em ataques cibernéticos contra a Ucrânia atingiu um novo nível no primeiro semestre de 2025 (1º semestre de 2025), disse o Serviço de Estado para Comunicações Especiais e Proteção de Informações (SSSCIP) do país.
“Os hackers agora o empregam não apenas para gerar mensagens de phishing, mas algumas das amostras de malware que analisamos mostram sinais claros de terem sido geradas com IA – e os invasores certamente não vão parar por aí”, disse a agência em um relatório publicado na quarta-feira.
SSSCIP disse que 3.018 incidentes cibernéticos foram registrados durante o período, acima dos 2.575 no segundo semestre de 2024 (2º semestre de 2024). As autoridades locais e entidades militares testemunharam um aumento nos ataques em comparação com o segundo semestre de 2024, enquanto os que visavam os setores governamental e energético diminuíram.
Um ataque notável observado envolveu o uso de malware chamado WRECKSTEEL pelo UAC-0219 em ataques direcionados a órgãos da administração estadual e instalações de infraestrutura crítica no país. Há evidências que sugerem que o malware de roubo de dados do PowerShell foi desenvolvido usando ferramentas de IA.
Algumas das outras campanhas registradas contra a Ucrânia estão listadas abaixo -
Campanhas de phishing orquestradas por UAC-0218 visando forças de defesa para entregar HOMESTEEL usando arquivos RAR com armadilhas
Campanhas de phishing orquestradas pelo UAC-0226 visando organizações envolvidas no desenvolvimento de inovações no setor industrial de defesa, órgãos governamentais locais, unidades militares e agências de aplicação da lei para distribuir um ladrão chamado GIFTEDCROOK
Campanhas de phishing orquestradas pelo UAC-0227 visando autoridades locais, instalações de infraestrutura crítica e Centros Territoriais de Recrutamento e Apoio Social (TRCs e SSCs) que utilizam táticas estilo ClickFix ou anexos de arquivos SVG para distribuir ladrões como Amatera Stealer e Strela Stealer
Campanhas de phishing orquestradas pelo UAC-0125, um subcluster vinculado ao Sandworm, que enviou mensagens de e-mail contendo links para um site disfarçado de ESET para fornecer um backdoor baseado em C# chamado Kalambur (também conhecido como SUMBUR) sob o disfarce de um programa de remoção de ameaças
SSSCIP disse que também observou os atores APT28 (também conhecidos como UAC-0001) ligados à Rússia usando como arma falhas de script entre sites em Roundcube e (CVE-2023-43770, CVE-2024-37383 e CVE-2025-49113) e Zimbra (CVE-2024-27443 e CVE-2025-27915) software de webmail para conduzir ataques sem clique.
“Ao explorar essas vulnerabilidades, os invasores normalmente injetam códigos maliciosos que, por meio da API Roundcube ou Zimbra, obtêm acesso a credenciais, listas de contatos e filtros configurados para encaminhar todos os e-mails para caixas de correio controladas pelos invasores”, disse SSSCIP.
"Outro método de roubar credenciais usando essas vulnerabilidades foi criar blocos HTML ocultos (visibilidade: oculto) com campos de entrada de login e senha, onde o atributo autocomplete='on' foi definido. Isso permitiu que os campos fossem preenchidos automaticamente com dados armazenados no navegador, que foram então exfiltrados."
A agência também revelou que a Rússia continua a envolver-se na guerra híbrida, sincronizando as suas operações cibernéticas em conjunto com ataques cinéticos no campo de batalha, com o grupo Sandworm (UAC-0002) a visar organizações nos sectores da energia, defesa, fornecedores de serviços de Internet e investigação.
Além disso, vários grupos de ameaças que visam a Ucrânia recorreram ao abuso de serviços legítimos, como Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io, para alojar malware ou páginas de phishing, ou transformá-los num canal de exfiltração de dados.
“O uso de recursos online legítimos para fins maliciosos não é uma tática nova”, disse SSSCIP. “No entanto, o número dessas plataformas exploradas por hackers russos tem aumentado constantemente nos últimos tempos”.
“Os hackers agora o empregam não apenas para gerar mensagens de phishing, mas algumas das amostras de malware que analisamos mostram sinais claros de terem sido geradas com IA – e os invasores certamente não vão parar por aí”, disse a agência em um relatório publicado na quarta-feira.
SSSCIP disse que 3.018 incidentes cibernéticos foram registrados durante o período, acima dos 2.575 no segundo semestre de 2024 (2º semestre de 2024). As autoridades locais e entidades militares testemunharam um aumento nos ataques em comparação com o segundo semestre de 2024, enquanto os que visavam os setores governamental e energético diminuíram.
Um ataque notável observado envolveu o uso de malware chamado WRECKSTEEL pelo UAC-0219 em ataques direcionados a órgãos da administração estadual e instalações de infraestrutura crítica no país. Há evidências que sugerem que o malware de roubo de dados do PowerShell foi desenvolvido usando ferramentas de IA.
Algumas das outras campanhas registradas contra a Ucrânia estão listadas abaixo -
Campanhas de phishing orquestradas por UAC-0218 visando forças de defesa para entregar HOMESTEEL usando arquivos RAR com armadilhas
Campanhas de phishing orquestradas pelo UAC-0226 visando organizações envolvidas no desenvolvimento de inovações no setor industrial de defesa, órgãos governamentais locais, unidades militares e agências de aplicação da lei para distribuir um ladrão chamado GIFTEDCROOK
Campanhas de phishing orquestradas pelo UAC-0227 visando autoridades locais, instalações de infraestrutura crítica e Centros Territoriais de Recrutamento e Apoio Social (TRCs e SSCs) que utilizam táticas estilo ClickFix ou anexos de arquivos SVG para distribuir ladrões como Amatera Stealer e Strela Stealer
Campanhas de phishing orquestradas pelo UAC-0125, um subcluster vinculado ao Sandworm, que enviou mensagens de e-mail contendo links para um site disfarçado de ESET para fornecer um backdoor baseado em C# chamado Kalambur (também conhecido como SUMBUR) sob o disfarce de um programa de remoção de ameaças
SSSCIP disse que também observou os atores APT28 (também conhecidos como UAC-0001) ligados à Rússia usando como arma falhas de script entre sites em Roundcube e (CVE-2023-43770, CVE-2024-37383 e CVE-2025-49113) e Zimbra (CVE-2024-27443 e CVE-2025-27915) software de webmail para conduzir ataques sem clique.
“Ao explorar essas vulnerabilidades, os invasores normalmente injetam códigos maliciosos que, por meio da API Roundcube ou Zimbra, obtêm acesso a credenciais, listas de contatos e filtros configurados para encaminhar todos os e-mails para caixas de correio controladas pelos invasores”, disse SSSCIP.
"Outro método de roubar credenciais usando essas vulnerabilidades foi criar blocos HTML ocultos (visibilidade: oculto) com campos de entrada de login e senha, onde o atributo autocomplete='on' foi definido. Isso permitiu que os campos fossem preenchidos automaticamente com dados armazenados no navegador, que foram então exfiltrados."
A agência também revelou que a Rússia continua a envolver-se na guerra híbrida, sincronizando as suas operações cibernéticas em conjunto com ataques cinéticos no campo de batalha, com o grupo Sandworm (UAC-0002) a visar organizações nos sectores da energia, defesa, fornecedores de serviços de Internet e investigação.
Além disso, vários grupos de ameaças que visam a Ucrânia recorreram ao abuso de serviços legítimos, como Dropbox, Google Drive, OneDrive, Bitbucket, Cloudflare Workers, Telegram, Telegra.ph, Teletype.in, Firebase, ipfs.io, mocky.io, para alojar malware ou páginas de phishing, ou transformá-los num canal de exfiltração de dados.
“O uso de recursos online legítimos para fins maliciosos não é uma tática nova”, disse SSSCIP. “No entanto, o número dessas plataformas exploradas por hackers russos tem aumentado constantemente nos últimos tempos”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #do #phishing #ao #malware: #a #ia #se #torna #a #nova #arma #cibernética #da #rússia #na #guerra #contra #a #ucrânia
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário