🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O ator russo conhecido como APT28 (também conhecido como Forest Blizzard e Pawn Storm) foi vinculado a uma nova campanha de spear-phishing direcionada à Ucrânia e seus aliados para implantar um conjunto de malware anteriormente não documentado, de codinome PRISMEX.
“O PRISMEX combina esteganografia avançada, sequestro de modelo de objeto componente (COM) e abuso legítimo de serviço em nuvem para comando e controle”, disseram os pesquisadores da Trend Micro, Feike Hacquebord e Hiroyuki Kakara, em um relatório técnico. Acredita-se que a campanha esteja ativa pelo menos desde setembro de 2025.
A atividade tem como alvo vários setores na Ucrânia, incluindo órgãos executivos centrais, hidrometeorologia, defesa e serviços de emergência, bem como logística ferroviária (Polónia), marítima e de transporte (Roménia, Eslovénia, Turquia) e parceiros de apoio logístico envolvidos em iniciativas de munições (Eslováquia, República Checa) e parceiros militares e da NATO.
A campanha é notável pela rápida utilização como arma de falhas recentemente divulgadas, como como CVE-2026-21509 e CVE-2026-21513, para violar alvos de interesse, com a preparação da infraestrutura observada em 12 de janeiro de 2026, exatamente duas semanas antes da primeira ser divulgada publicamente.
No final de fevereiro de 2025, a Akamai também divulgou que o APT28 pode ter transformado o CVE-2026-21513 em uma arma como um dia zero baseado em uma exploração do Microsoft Shortcut (LNK) que foi carregada no VirusTotal em 30 de janeiro de 2026, bem antes de o fabricante do Windows lançar uma correção como parte de sua atualização Patch Tuesday em 10 de fevereiro de 2026.
Este padrão de exploração de dia zero indica que o autor da ameaça tinha conhecimento avançado das vulnerabilidades antes de serem reveladas pela Microsoft.
Uma sobreposição interessante entre campanhas que exploram as duas vulnerabilidades é o domínio “wellnesscaremed[.]com”. Essa semelhança, combinada com o momento das duas explorações, levantou a possibilidade de que os atores da ameaça estejam agrupando CVE-2026-21513 e CVE-2026-21509 em uma sofisticada cadeia de ataque em dois estágios.
“A primeira vulnerabilidade (CVE-2026-21509) força o sistema da vítima a recuperar um arquivo .LNK malicioso, que então explora a segunda vulnerabilidade (CVE-2026-21513) para ignorar recursos de segurança e executar cargas sem avisos do usuário”, teorizou a Trend Micro.
Os ataques culminam na implantação do MiniDoor, um ladrão de e-mails do Outlook, ou de uma coleção de componentes de malware interconectados conhecidos coletivamente como PRISMEX, assim chamados devido ao uso de uma técnica esteganográfica para ocultar cargas dentro de arquivos de imagem. Isso inclui -
PrismexSheet, um conta-gotas malicioso do Excel com macros VBA que extrai cargas incorporadas no arquivo usando esteganografia, estabelece persistência por meio de sequestro de COM e exibe um documento falso relacionado a listas de inventário de drones e preços de drones depois que as macros são habilitadas.
PrismexDrop, um dropper nativo que prepara o ambiente para exploração subsequente e usa tarefas agendadas e sequestro de DLL COM para persistência.
PrismexLoader (também conhecido como PixyNetLoader), uma DLL proxy que extrai a carga útil do .NET de próximo estágio espalhada pela estrutura de arquivo de uma imagem PNG ("SplashScreen.png") usando um algoritmo "Bit Plane Round Robin" personalizado e a executa inteiramente na memória.
PrismexStager, um implante COVENANT Grunt que abusa do armazenamento em nuvem Filen.io para C2.
Vale a pena mencionar aqui que alguns aspectos da campanha foram documentados anteriormente pelo Zscaler ThreatLabz sob o nome de Operação Neusploit.
O uso do COVENANT pelo APT28, uma estrutura de comando e controle (C2) de código aberto, foi destacado pela primeira vez pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) em junho de 2025. O PrismexStage foi avaliado como uma expansão do MiniDoor e do NotDoor (também conhecido como GONEPOSTAL), um backdoor do Microsoft Outlook implantado pelo grupo de hackers no final de 2025.
Em pelo menos um incidente em outubro de 2025, descobriu-se que a carga útil do COVENANT Grunt não apenas facilita a coleta de informações, mas também executa um comando de limpeza destrutivo que apaga todos os arquivos no diretório “%USERPROFILE%”. Esta dupla capacidade dá peso à hipótese de que estas campanhas poderiam ser concebidas tanto para espionagem como para sabotagem.
“Esta operação demonstra que Pawn Storm continua sendo um dos grupos de intrusão mais agressivos alinhados à Rússia”, disse a Trend Micro. “O padrão de seleção de alvos revela uma intenção estratégica de comprometer a cadeia de abastecimento e as capacidades de planeamento operacional da Ucrânia e dos seus parceiros da NATO.”
"O foco estratégico em visar as cadeias de abastecimento, os serviços meteorológicos e os corredores humanitários que apoiam a Ucrânia representa uma mudança no sentido de perturbações operacionais que podem pressagiar atividades mais destrutivas."
“O PRISMEX combina esteganografia avançada, sequestro de modelo de objeto componente (COM) e abuso legítimo de serviço em nuvem para comando e controle”, disseram os pesquisadores da Trend Micro, Feike Hacquebord e Hiroyuki Kakara, em um relatório técnico. Acredita-se que a campanha esteja ativa pelo menos desde setembro de 2025.
A atividade tem como alvo vários setores na Ucrânia, incluindo órgãos executivos centrais, hidrometeorologia, defesa e serviços de emergência, bem como logística ferroviária (Polónia), marítima e de transporte (Roménia, Eslovénia, Turquia) e parceiros de apoio logístico envolvidos em iniciativas de munições (Eslováquia, República Checa) e parceiros militares e da NATO.
A campanha é notável pela rápida utilização como arma de falhas recentemente divulgadas, como como CVE-2026-21509 e CVE-2026-21513, para violar alvos de interesse, com a preparação da infraestrutura observada em 12 de janeiro de 2026, exatamente duas semanas antes da primeira ser divulgada publicamente.
No final de fevereiro de 2025, a Akamai também divulgou que o APT28 pode ter transformado o CVE-2026-21513 em uma arma como um dia zero baseado em uma exploração do Microsoft Shortcut (LNK) que foi carregada no VirusTotal em 30 de janeiro de 2026, bem antes de o fabricante do Windows lançar uma correção como parte de sua atualização Patch Tuesday em 10 de fevereiro de 2026.
Este padrão de exploração de dia zero indica que o autor da ameaça tinha conhecimento avançado das vulnerabilidades antes de serem reveladas pela Microsoft.
Uma sobreposição interessante entre campanhas que exploram as duas vulnerabilidades é o domínio “wellnesscaremed[.]com”. Essa semelhança, combinada com o momento das duas explorações, levantou a possibilidade de que os atores da ameaça estejam agrupando CVE-2026-21513 e CVE-2026-21509 em uma sofisticada cadeia de ataque em dois estágios.
“A primeira vulnerabilidade (CVE-2026-21509) força o sistema da vítima a recuperar um arquivo .LNK malicioso, que então explora a segunda vulnerabilidade (CVE-2026-21513) para ignorar recursos de segurança e executar cargas sem avisos do usuário”, teorizou a Trend Micro.
Os ataques culminam na implantação do MiniDoor, um ladrão de e-mails do Outlook, ou de uma coleção de componentes de malware interconectados conhecidos coletivamente como PRISMEX, assim chamados devido ao uso de uma técnica esteganográfica para ocultar cargas dentro de arquivos de imagem. Isso inclui -
PrismexSheet, um conta-gotas malicioso do Excel com macros VBA que extrai cargas incorporadas no arquivo usando esteganografia, estabelece persistência por meio de sequestro de COM e exibe um documento falso relacionado a listas de inventário de drones e preços de drones depois que as macros são habilitadas.
PrismexDrop, um dropper nativo que prepara o ambiente para exploração subsequente e usa tarefas agendadas e sequestro de DLL COM para persistência.
PrismexLoader (também conhecido como PixyNetLoader), uma DLL proxy que extrai a carga útil do .NET de próximo estágio espalhada pela estrutura de arquivo de uma imagem PNG ("SplashScreen.png") usando um algoritmo "Bit Plane Round Robin" personalizado e a executa inteiramente na memória.
PrismexStager, um implante COVENANT Grunt que abusa do armazenamento em nuvem Filen.io para C2.
Vale a pena mencionar aqui que alguns aspectos da campanha foram documentados anteriormente pelo Zscaler ThreatLabz sob o nome de Operação Neusploit.
O uso do COVENANT pelo APT28, uma estrutura de comando e controle (C2) de código aberto, foi destacado pela primeira vez pela Equipe de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) em junho de 2025. O PrismexStage foi avaliado como uma expansão do MiniDoor e do NotDoor (também conhecido como GONEPOSTAL), um backdoor do Microsoft Outlook implantado pelo grupo de hackers no final de 2025.
Em pelo menos um incidente em outubro de 2025, descobriu-se que a carga útil do COVENANT Grunt não apenas facilita a coleta de informações, mas também executa um comando de limpeza destrutivo que apaga todos os arquivos no diretório “%USERPROFILE%”. Esta dupla capacidade dá peso à hipótese de que estas campanhas poderiam ser concebidas tanto para espionagem como para sabotagem.
“Esta operação demonstra que Pawn Storm continua sendo um dos grupos de intrusão mais agressivos alinhados à Rússia”, disse a Trend Micro. “O padrão de seleção de alvos revela uma intenção estratégica de comprometer a cadeia de abastecimento e as capacidades de planeamento operacional da Ucrânia e dos seus parceiros da NATO.”
"O foco estratégico em visar as cadeias de abastecimento, os serviços meteorológicos e os corredores humanitários que apoiam a Ucrânia representa uma mudança no sentido de perturbações operacionais que podem pressagiar atividades mais destrutivas."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt28 #implanta #malware #prismex #em #campanha #direcionada #à #ucrânia #e #aos #aliados #da #otan
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário