📰 Informação fresquinha chegando para você!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Vários actores patrocinados pelo Estado, entidades hacktivistas e grupos criminosos da China, Irão, Coreia do Norte e Rússia concentraram-se no sector da base industrial de defesa (DIB), de acordo com as conclusões do Google Threat Intelligence Group (GTIG).
A divisão de inteligência de ameaças da gigante da tecnologia disse que a segmentação adversária do setor está centrada em quatro temas principais: atacar entidades de defesa que implantam tecnologias no campo de batalha na Guerra Rússia-Ucrânia, abordar diretamente os funcionários e explorar o processo de contratação por atores norte-coreanos e iranianos, uso de dispositivos e aparelhos de ponta como vias de acesso inicial para grupos do nexo China, e risco da cadeia de abastecimento decorrente da violação do setor manufatureiro.
“Muitos dos principais patrocinadores estatais da espionagem cibernética e atores hacktivistas demonstraram interesse em veículos autônomos e drones, já que essas plataformas desempenham um papel cada vez maior na guerra moderna”, disse o GTIG. "Além disso, a tendência de 'evasão de detecção' [...] continua, à medida que os atores se concentram em terminais únicos e indivíduos, ou realizam invasões de uma maneira que busca evitar completamente as ferramentas de detecção e resposta de terminais (EDR)."
Alguns dos notáveis atores de ameaças que participaram da atividade incluem -
O APT44 (também conhecido como Sandworm) tentou exfiltrar informações dos aplicativos de mensagens criptografadas Telegram e Signal, provavelmente após garantir o acesso físico aos dispositivos obtidos durante operações terrestres na Ucrânia. Isso inclui o uso de um script em lote do Windows chamado WAVESIGN para descriptografar e exfiltrar dados do aplicativo de desktop do Signal.
TEMP.Vermin (também conhecido como UAC-0020) usou malware como VERMONSTER, SPECTRUM (também conhecido como SPECTR) e FIRMACHAGENT usando conteúdo de isca que gira em torno da produção e desenvolvimento de drones, sistemas de defesa anti-drone e sistemas de segurança de vigilância por vídeo.
UNC5125 (também conhecido como FlyingYeti e UAC-0149) conduziu campanhas altamente direcionadas com foco em unidades de drones da linha de frente. Ele usou um questionário hospedado no Google Forms para realizar o reconhecimento contra possíveis operadores de drones e distribuiu malware por meio de aplicativos de mensagens como o MESSYFORK (também conhecido como COOKBOX) para um operador de veículo aéreo não tripulado (UAV) baseado na Ucrânia.
Diz-se também que o UNC5125 aproveitou um malware Android chamado GREYBATTLE, uma versão personalizada do trojan bancário Hydra, para roubar credenciais e dados, distribuindo-os através de um site que falsificava uma empresa militar ucraniana de inteligência artificial.
UNC5792 (também conhecido como UAC-0195) explorou aplicativos de mensagens seguros para atingir entidades militares e governamentais ucranianas, bem como indivíduos e organizações na Moldávia, Geórgia, França e EUA. O ator da ameaça é notável por usar o recurso de vinculação de dispositivos do Signal como arma para sequestrar contas de vítimas.
O UNC4221 (também conhecido como UAC-0185) também tem como alvo aplicativos de mensagens seguras usados por militares ucranianos, usando táticas semelhantes ao UNC5792. O ator da ameaça também aproveitou um malware Android chamado STALECOOKIE, que imita a plataforma de gerenciamento de campo de batalha da Ucrânia, DELTA, para roubar cookies do navegador. Outra tática empregada pelo grupo é o uso do ClickFix para entregar o downloader TINYWHALE que, por sua vez, descarta o software de gerenciamento remoto MeshAgent.
UNC5976, um cluster de espionagem russo que conduziu uma campanha de phishing entregando arquivos de conexão RDP maliciosos configurados para se comunicar com domínios controlados por atores que imitam uma empresa de telecomunicações ucraniana.
UNC6096, um cluster de espionagem russo que conduziu operações de entrega de malware via WhatsApp usando temas relacionados ao DELTA para entregar um atalho LNK malicioso dentro de um arquivo que baixa uma carga secundária. Descobriu-se que ataques direcionados a dispositivos Android entregam malware chamado GALLGRAB, que coleta arquivos armazenados localmente, informações de contato e dados de usuários potencialmente criptografados de aplicativos especializados no campo de batalha.
UNC5114, um suposto cluster de espionagem russo que entregou uma variante de um malware Android pronto para uso chamado CraxsRAT, mascarando-o como uma atualização para Kropyva, um sistema de controle de combate usado na Ucrânia.
O APT45 (também conhecido como Andariel) tem como alvo entidades sul-coreanas de defesa, semicondutores e fabricantes de automóveis com malware SmallTiger.
O APT43 (também conhecido como Kimsuky) provavelmente aproveitou a infraestrutura que imita entidades relacionadas à defesa da Alemanha e dos EUA para implantar um backdoor chamado THINWAVE.
O UNC2970 (também conhecido como Grupo Lazarus) conduziu a campanha Operação Dream Job para atingir os setores aeroespacial, de defesa e de energia, além de contar com ferramentas de inteligência artificial (IA) para realizar o reconhecimento de seus alvos.
O UNC1549 (também conhecido como Nimbus Manticore) tem como alvo as indústrias aeroespacial, de aviação e de defesa no Oriente Médio com famílias de malware como MINIBIKE, TWOSTROKE, DEEPROOT e CRASHPAD. O grupo é conhecido por
A divisão de inteligência de ameaças da gigante da tecnologia disse que a segmentação adversária do setor está centrada em quatro temas principais: atacar entidades de defesa que implantam tecnologias no campo de batalha na Guerra Rússia-Ucrânia, abordar diretamente os funcionários e explorar o processo de contratação por atores norte-coreanos e iranianos, uso de dispositivos e aparelhos de ponta como vias de acesso inicial para grupos do nexo China, e risco da cadeia de abastecimento decorrente da violação do setor manufatureiro.
“Muitos dos principais patrocinadores estatais da espionagem cibernética e atores hacktivistas demonstraram interesse em veículos autônomos e drones, já que essas plataformas desempenham um papel cada vez maior na guerra moderna”, disse o GTIG. "Além disso, a tendência de 'evasão de detecção' [...] continua, à medida que os atores se concentram em terminais únicos e indivíduos, ou realizam invasões de uma maneira que busca evitar completamente as ferramentas de detecção e resposta de terminais (EDR)."
Alguns dos notáveis atores de ameaças que participaram da atividade incluem -
O APT44 (também conhecido como Sandworm) tentou exfiltrar informações dos aplicativos de mensagens criptografadas Telegram e Signal, provavelmente após garantir o acesso físico aos dispositivos obtidos durante operações terrestres na Ucrânia. Isso inclui o uso de um script em lote do Windows chamado WAVESIGN para descriptografar e exfiltrar dados do aplicativo de desktop do Signal.
TEMP.Vermin (também conhecido como UAC-0020) usou malware como VERMONSTER, SPECTRUM (também conhecido como SPECTR) e FIRMACHAGENT usando conteúdo de isca que gira em torno da produção e desenvolvimento de drones, sistemas de defesa anti-drone e sistemas de segurança de vigilância por vídeo.
UNC5125 (também conhecido como FlyingYeti e UAC-0149) conduziu campanhas altamente direcionadas com foco em unidades de drones da linha de frente. Ele usou um questionário hospedado no Google Forms para realizar o reconhecimento contra possíveis operadores de drones e distribuiu malware por meio de aplicativos de mensagens como o MESSYFORK (também conhecido como COOKBOX) para um operador de veículo aéreo não tripulado (UAV) baseado na Ucrânia.
Diz-se também que o UNC5125 aproveitou um malware Android chamado GREYBATTLE, uma versão personalizada do trojan bancário Hydra, para roubar credenciais e dados, distribuindo-os através de um site que falsificava uma empresa militar ucraniana de inteligência artificial.
UNC5792 (também conhecido como UAC-0195) explorou aplicativos de mensagens seguros para atingir entidades militares e governamentais ucranianas, bem como indivíduos e organizações na Moldávia, Geórgia, França e EUA. O ator da ameaça é notável por usar o recurso de vinculação de dispositivos do Signal como arma para sequestrar contas de vítimas.
O UNC4221 (também conhecido como UAC-0185) também tem como alvo aplicativos de mensagens seguras usados por militares ucranianos, usando táticas semelhantes ao UNC5792. O ator da ameaça também aproveitou um malware Android chamado STALECOOKIE, que imita a plataforma de gerenciamento de campo de batalha da Ucrânia, DELTA, para roubar cookies do navegador. Outra tática empregada pelo grupo é o uso do ClickFix para entregar o downloader TINYWHALE que, por sua vez, descarta o software de gerenciamento remoto MeshAgent.
UNC5976, um cluster de espionagem russo que conduziu uma campanha de phishing entregando arquivos de conexão RDP maliciosos configurados para se comunicar com domínios controlados por atores que imitam uma empresa de telecomunicações ucraniana.
UNC6096, um cluster de espionagem russo que conduziu operações de entrega de malware via WhatsApp usando temas relacionados ao DELTA para entregar um atalho LNK malicioso dentro de um arquivo que baixa uma carga secundária. Descobriu-se que ataques direcionados a dispositivos Android entregam malware chamado GALLGRAB, que coleta arquivos armazenados localmente, informações de contato e dados de usuários potencialmente criptografados de aplicativos especializados no campo de batalha.
UNC5114, um suposto cluster de espionagem russo que entregou uma variante de um malware Android pronto para uso chamado CraxsRAT, mascarando-o como uma atualização para Kropyva, um sistema de controle de combate usado na Ucrânia.
O APT45 (também conhecido como Andariel) tem como alvo entidades sul-coreanas de defesa, semicondutores e fabricantes de automóveis com malware SmallTiger.
O APT43 (também conhecido como Kimsuky) provavelmente aproveitou a infraestrutura que imita entidades relacionadas à defesa da Alemanha e dos EUA para implantar um backdoor chamado THINWAVE.
O UNC2970 (também conhecido como Grupo Lazarus) conduziu a campanha Operação Dream Job para atingir os setores aeroespacial, de defesa e de energia, além de contar com ferramentas de inteligência artificial (IA) para realizar o reconhecimento de seus alvos.
O UNC1549 (também conhecido como Nimbus Manticore) tem como alvo as indústrias aeroespacial, de aviação e de defesa no Oriente Médio com famílias de malware como MINIBIKE, TWOSTROKE, DEEPROOT e CRASHPAD. O grupo é conhecido por
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #google #vincula #china, #irã, #rússia #e #coreia #do #norte #a #operações #cibernéticas #coordenadas #no #setor #de #defesa
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário