📰 Informação fresquinha chegando para você!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Foi observado que um actor ameaçador alinhado com a Rússia tinha como alvo uma instituição financeira europeia como parte de um ataque de engenharia social para provavelmente facilitar a recolha de informações ou o roubo financeiro, sinalizando uma possível expansão dos objectivos do actor ameaçador para além da Ucrânia e para entidades que apoiam a nação devastada pela guerra.
A atividade, que tinha como alvo uma entidade não identificada envolvida em iniciativas de desenvolvimento e reconstrução regional, foi atribuída a um grupo de crimes cibernéticos denominado UAC-0050 (também conhecido como Grupo DaVinci). BlueVoyant designou o nome Mercenary Akula para o grupo de ameaças. O ataque foi observado no início deste mês.
“O ataque falsificou um domínio judicial ucraniano para entregar um e-mail contendo um link para uma carga de acesso remoto”, disseram os pesquisadores Patrick McHale e Joshua Green em um relatório compartilhado com o The Hacker News. "O alvo era um consultor jurídico e político sênior envolvido em compras, uma função com visão privilegiada das operações institucionais e dos mecanismos financeiros."
O ponto de partida é um e-mail de spear-phishing que usa temas legais para direcionar os destinatários a baixar um arquivo hospedado no PixelDrain, um serviço de compartilhamento de arquivos usado pelo agente da ameaça para contornar os controles de segurança baseados em reputação.
O ZIP é responsável por iniciar uma cadeia de infecção em várias camadas. Presente no arquivo ZIP está um arquivo RAR que contém um arquivo 7-Zip protegido por senha, que inclui um executável que se disfarça como um documento PDF usando o truque de extensão dupla amplamente utilizado (*.pdf.exe).
A execução resulta na implantação de um instalador MSI para Remote Manipulator System (RMS), um software russo de desktop remoto que permite controle remoto, compartilhamento de desktop e transferência de arquivos.
“O uso dessas ferramentas ‘vivas fora da terra’ fornece aos invasores acesso persistente e furtivo, ao mesmo tempo que evitam a detecção antivírus tradicional”, observaram os pesquisadores.
O uso do RMS está alinhado com o modus operandi anterior do UAC-0050, com o ator de ameaça conhecido por descartar software legítimo de acesso remoto, como o LiteManager, e trojans de acesso remoto, como o RemcosRAT, em ataques direcionados à Ucrânia.
A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) caracterizou o UAC-0050 como um grupo mercenário associado às agências policiais russas que realiza coleta de dados, roubo financeiro e operações de informação e psicológicas sob a marca Fire Cells.
“Este ataque reflete o perfil de ataque repetitivo e bem estabelecido do Mercenary Akula, ao mesmo tempo que oferece um desenvolvimento notável”, disse BlueVoyant. "First, their targeting has been primarily focused on Ukraine-based entities, especially accountants and financial officers. However, this incident suggests potential probing of Ukraine-supporting institutions in Western Europe."
A divulgação ocorre no momento em que a Ucrânia revela que os ataques cibernéticos russos dirigidos à infra-estrutura energética do país estão cada vez mais focados na recolha de informações para orientar ataques de mísseis, em vez de interromper imediatamente as operações, informou o The Record.
A empresa de segurança cibernética CrowdStrike, em seu Relatório Anual de Ameaças Globais, disse que espera que os adversários do nexo com a Rússia continuem conduzindo operações agressivas com o objetivo de coletar informações de alvos ucranianos e de estados membros da OTAN.
Isso inclui esforços empreendidos pela APT29 (também conhecida como Cozy Bear e Midnight Blizzard) para explorar “sistematicamente” a confiança, a credibilidade organizacional e a legitimidade da plataforma como parte de campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) sediadas nos EUA e a uma entidade legal sediada nos EUA para obter acesso não autorizado às contas da Microsoft das vítimas.
“A Cozy Bear comprometeu ou personificou com sucesso indivíduos com os quais os usuários-alvo mantinham relações profissionais de confiança”, disse CrowdStrike. “Indivíduos personificados incluíam funcionários de filiais de ONGs internacionais e organizações pró-Ucrânia.”
“O adversário investiu pesadamente na comprovação dessas falsificações, usando contas de e-mail legítimas de indivíduos comprometidos junto com canais de comunicação descartáveis para reforçar a autenticidade”.
A atividade, que tinha como alvo uma entidade não identificada envolvida em iniciativas de desenvolvimento e reconstrução regional, foi atribuída a um grupo de crimes cibernéticos denominado UAC-0050 (também conhecido como Grupo DaVinci). BlueVoyant designou o nome Mercenary Akula para o grupo de ameaças. O ataque foi observado no início deste mês.
“O ataque falsificou um domínio judicial ucraniano para entregar um e-mail contendo um link para uma carga de acesso remoto”, disseram os pesquisadores Patrick McHale e Joshua Green em um relatório compartilhado com o The Hacker News. "O alvo era um consultor jurídico e político sênior envolvido em compras, uma função com visão privilegiada das operações institucionais e dos mecanismos financeiros."
O ponto de partida é um e-mail de spear-phishing que usa temas legais para direcionar os destinatários a baixar um arquivo hospedado no PixelDrain, um serviço de compartilhamento de arquivos usado pelo agente da ameaça para contornar os controles de segurança baseados em reputação.
O ZIP é responsável por iniciar uma cadeia de infecção em várias camadas. Presente no arquivo ZIP está um arquivo RAR que contém um arquivo 7-Zip protegido por senha, que inclui um executável que se disfarça como um documento PDF usando o truque de extensão dupla amplamente utilizado (*.pdf.exe).
A execução resulta na implantação de um instalador MSI para Remote Manipulator System (RMS), um software russo de desktop remoto que permite controle remoto, compartilhamento de desktop e transferência de arquivos.
“O uso dessas ferramentas ‘vivas fora da terra’ fornece aos invasores acesso persistente e furtivo, ao mesmo tempo que evitam a detecção antivírus tradicional”, observaram os pesquisadores.
O uso do RMS está alinhado com o modus operandi anterior do UAC-0050, com o ator de ameaça conhecido por descartar software legítimo de acesso remoto, como o LiteManager, e trojans de acesso remoto, como o RemcosRAT, em ataques direcionados à Ucrânia.
A Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) caracterizou o UAC-0050 como um grupo mercenário associado às agências policiais russas que realiza coleta de dados, roubo financeiro e operações de informação e psicológicas sob a marca Fire Cells.
“Este ataque reflete o perfil de ataque repetitivo e bem estabelecido do Mercenary Akula, ao mesmo tempo que oferece um desenvolvimento notável”, disse BlueVoyant. "First, their targeting has been primarily focused on Ukraine-based entities, especially accountants and financial officers. However, this incident suggests potential probing of Ukraine-supporting institutions in Western Europe."
A divulgação ocorre no momento em que a Ucrânia revela que os ataques cibernéticos russos dirigidos à infra-estrutura energética do país estão cada vez mais focados na recolha de informações para orientar ataques de mísseis, em vez de interromper imediatamente as operações, informou o The Record.
A empresa de segurança cibernética CrowdStrike, em seu Relatório Anual de Ameaças Globais, disse que espera que os adversários do nexo com a Rússia continuem conduzindo operações agressivas com o objetivo de coletar informações de alvos ucranianos e de estados membros da OTAN.
Isso inclui esforços empreendidos pela APT29 (também conhecida como Cozy Bear e Midnight Blizzard) para explorar “sistematicamente” a confiança, a credibilidade organizacional e a legitimidade da plataforma como parte de campanhas de spear-phishing direcionadas a organizações não governamentais (ONGs) sediadas nos EUA e a uma entidade legal sediada nos EUA para obter acesso não autorizado às contas da Microsoft das vítimas.
“A Cozy Bear comprometeu ou personificou com sucesso indivíduos com os quais os usuários-alvo mantinham relações profissionais de confiança”, disse CrowdStrike. “Indivíduos personificados incluíam funcionários de filiais de ONGs internacionais e organizações pró-Ucrânia.”
“O adversário investiu pesadamente na comprovação dessas falsificações, usando contas de e-mail legítimas de indivíduos comprometidos junto com canais de comunicação descartáveis para reforçar a autenticidade”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #uac0050 #visa #instituição #financeira #europeia #com #domínio #falsificado #e #malware #rms
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário