⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O grupo de ameaças alinhado à Bielorrússia conhecido como Ghostwriter foi atribuído a um novo conjunto de ataques contra organizações governamentais na Ucrânia.
Ativo desde pelo menos 2016, o Ghostwriter tem estado ligado tanto à espionagem cibernética como a operações de influência visando países vizinhos, especialmente a Ucrânia. Também é rastreado sob os nomes FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison (anteriormente RepeatingUmbra), UNC1151 e White Lynx.
“FrostyNeighbor tem executado operações cibernéticas contínuas, alterando e atualizando seu conjunto de ferramentas regularmente, atualizando sua cadeia de comprometimento e métodos para evitar a detecção – visando vítimas localizadas na Europa Oriental”, disse a ESET em um relatório compartilhado com The Hacker News.
Ataques anteriores montados pela equipe de hackers aproveitaram uma família de malware conhecida como PicassoLoader, que atua como um canal para o Cobalt Strike Beacon e o njRAT. No final de 2023, o ator da ameaça também foi observado transformando uma vulnerabilidade no WinRAR (CVE-2023-38831, pontuação CVSS: 7,8) como arma para implantar o PicassoLoader e o Cobalt Strike.
Ainda no ano passado, entidades polonesas foram alvo de uma campanha de phishing orquestrada pelo Ghostwriter que explorou uma falha entre sites no Roundcube (CVE-2024-42009, pontuação CVSS: 9,3) para executar JavaScript malicioso responsável pela captura de credenciais de login de e-mail.
Em pelo menos alguns casos, os agentes da ameaça teriam aproveitado as credenciais coletadas para analisar o conteúdo da caixa de correio, baixar a lista de contatos e abusar da conta comprometida para propagar mais mensagens de phishing, de acordo com um relatório do CERT Polska em junho de 2025. No final de 2025, o grupo também começou a incorporar uma técnica de anti-análise em que os documentos de atração dependiam de verificações dinâmicas de CAPTCHA para acionar a cadeia de ataque.
“FrostyNeighbor continua sendo um ator de ameaça persistente e adaptativo, demonstrando um alto nível de maturidade operacional com o uso de diversos documentos de isca, variantes de isca e download em evolução e novos mecanismos de entrega”, disse o pesquisador da ESET Damien Schaeffer. “Esta mais nova cadeia de comprometimento que detectamos é uma continuação da disposição do grupo de atualizar e renovar seu arsenal, tentando escapar da detecção para comprometer seus alvos”.
O último conjunto de atividades, observado desde março de 2026, envolve a utilização de links em PDFs maliciosos enviados através de anexos de spear-phishing para entidades governamentais alvo na Ucrânia, resultando em última análise na implantação de uma versão JavaScript do PicassoLoader para eliminar o Cobalt Strike. Descobriu-se que os documentos falsos em PDF representam a empresa de telecomunicações ucraniana Ukrtelecom.
A sequência de infecção incorpora uma verificação de cerca geográfica, servindo um arquivo PDF benigno às vítimas cujo endereço IP não corresponde ao da Ucrânia. O link incorporado no documento PDF é usado para entregar um arquivo RAR contendo uma carga JavaScript que exibe um documento de isca para manter o estratagema, ao mesmo tempo em que inicia o PicassoLoader em segundo plano.
O downloader também foi projetado para criar um perfil e uma impressão digital do host comprometido, com base no qual os operadores podem decidir manualmente enviar um conta-gotas JavaScript de terceiro estágio para o Cobalt Strike Beacon. A impressão digital do sistema é transmitida à infraestrutura controlada pelo invasor a cada 10 minutos, permitindo que o agente da ameaça avalie se a vítima é de interesse.
A actividade parece centrar-se principalmente em organizações militares, do sector da defesa e governamentais na Ucrânia, enquanto a vitimologia na Polónia e na Lituânia é muito mais ampla, visando os sectores industrial e transformador, cuidados de saúde e farmacêuticos, logística e governamental.
“FrostyNeighbor continua sendo um ator de ameaça persistente e adaptativo, demonstrando um alto nível de maturidade operacional com o uso de diversos documentos de isca, variantes de isca e download em evolução e novos mecanismos de entrega”, disse a ESET. “A carga útil só é entregue após a validação da vítima no servidor, combinando verificações automatizadas do agente do usuário solicitante e do endereço IP com a validação manual pelos operadores.”
Gamaredon oferece GammaDrop e GammaLoad em ataques na Ucrânia
A divulgação ocorre no momento em que o grupo de hackers Gamaredon, afiliado à Rússia, está vinculado a uma campanha de spear-phishing visando instituições estatais ucranianas desde setembro de 2025, com o objetivo de entregar malware de download GammaDrop e GammaLoad por meio de arquivos RAR que exploram CVE-2025-8088.
“Esses e-mails – falsificados ou enviados de contas governamentais comprometidas – fornecem downloaders VBScript persistentes e em vários estágios que traçam o perfil do sistema infectado”, disse HarfangLab. "Há pouca novidade técnica aqui, mas o Gamaredon nunca confiou na sofisticação. A força do grupo reside no seu ritmo operacional implacável e na sua escala."
Rússia visada pela equipe BO e Hive0117
As descobertas também seguem um repositório
Ativo desde pelo menos 2016, o Ghostwriter tem estado ligado tanto à espionagem cibernética como a operações de influência visando países vizinhos, especialmente a Ucrânia. Também é rastreado sob os nomes FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC‑0057, Umbral Bison (anteriormente RepeatingUmbra), UNC1151 e White Lynx.
“FrostyNeighbor tem executado operações cibernéticas contínuas, alterando e atualizando seu conjunto de ferramentas regularmente, atualizando sua cadeia de comprometimento e métodos para evitar a detecção – visando vítimas localizadas na Europa Oriental”, disse a ESET em um relatório compartilhado com The Hacker News.
Ataques anteriores montados pela equipe de hackers aproveitaram uma família de malware conhecida como PicassoLoader, que atua como um canal para o Cobalt Strike Beacon e o njRAT. No final de 2023, o ator da ameaça também foi observado transformando uma vulnerabilidade no WinRAR (CVE-2023-38831, pontuação CVSS: 7,8) como arma para implantar o PicassoLoader e o Cobalt Strike.
Ainda no ano passado, entidades polonesas foram alvo de uma campanha de phishing orquestrada pelo Ghostwriter que explorou uma falha entre sites no Roundcube (CVE-2024-42009, pontuação CVSS: 9,3) para executar JavaScript malicioso responsável pela captura de credenciais de login de e-mail.
Em pelo menos alguns casos, os agentes da ameaça teriam aproveitado as credenciais coletadas para analisar o conteúdo da caixa de correio, baixar a lista de contatos e abusar da conta comprometida para propagar mais mensagens de phishing, de acordo com um relatório do CERT Polska em junho de 2025. No final de 2025, o grupo também começou a incorporar uma técnica de anti-análise em que os documentos de atração dependiam de verificações dinâmicas de CAPTCHA para acionar a cadeia de ataque.
“FrostyNeighbor continua sendo um ator de ameaça persistente e adaptativo, demonstrando um alto nível de maturidade operacional com o uso de diversos documentos de isca, variantes de isca e download em evolução e novos mecanismos de entrega”, disse o pesquisador da ESET Damien Schaeffer. “Esta mais nova cadeia de comprometimento que detectamos é uma continuação da disposição do grupo de atualizar e renovar seu arsenal, tentando escapar da detecção para comprometer seus alvos”.
O último conjunto de atividades, observado desde março de 2026, envolve a utilização de links em PDFs maliciosos enviados através de anexos de spear-phishing para entidades governamentais alvo na Ucrânia, resultando em última análise na implantação de uma versão JavaScript do PicassoLoader para eliminar o Cobalt Strike. Descobriu-se que os documentos falsos em PDF representam a empresa de telecomunicações ucraniana Ukrtelecom.
A sequência de infecção incorpora uma verificação de cerca geográfica, servindo um arquivo PDF benigno às vítimas cujo endereço IP não corresponde ao da Ucrânia. O link incorporado no documento PDF é usado para entregar um arquivo RAR contendo uma carga JavaScript que exibe um documento de isca para manter o estratagema, ao mesmo tempo em que inicia o PicassoLoader em segundo plano.
O downloader também foi projetado para criar um perfil e uma impressão digital do host comprometido, com base no qual os operadores podem decidir manualmente enviar um conta-gotas JavaScript de terceiro estágio para o Cobalt Strike Beacon. A impressão digital do sistema é transmitida à infraestrutura controlada pelo invasor a cada 10 minutos, permitindo que o agente da ameaça avalie se a vítima é de interesse.
A actividade parece centrar-se principalmente em organizações militares, do sector da defesa e governamentais na Ucrânia, enquanto a vitimologia na Polónia e na Lituânia é muito mais ampla, visando os sectores industrial e transformador, cuidados de saúde e farmacêuticos, logística e governamental.
“FrostyNeighbor continua sendo um ator de ameaça persistente e adaptativo, demonstrando um alto nível de maturidade operacional com o uso de diversos documentos de isca, variantes de isca e download em evolução e novos mecanismos de entrega”, disse a ESET. “A carga útil só é entregue após a validação da vítima no servidor, combinando verificações automatizadas do agente do usuário solicitante e do endereço IP com a validação manual pelos operadores.”
Gamaredon oferece GammaDrop e GammaLoad em ataques na Ucrânia
A divulgação ocorre no momento em que o grupo de hackers Gamaredon, afiliado à Rússia, está vinculado a uma campanha de spear-phishing visando instituições estatais ucranianas desde setembro de 2025, com o objetivo de entregar malware de download GammaDrop e GammaLoad por meio de arquivos RAR que exploram CVE-2025-8088.
“Esses e-mails – falsificados ou enviados de contas governamentais comprometidas – fornecem downloaders VBScript persistentes e em vários estágios que traçam o perfil do sistema infectado”, disse HarfangLab. "Há pouca novidade técnica aqui, mas o Gamaredon nunca confiou na sofisticação. A força do grupo reside no seu ritmo operacional implacável e na sua escala."
Rússia visada pela equipe BO e Hive0117
As descobertas também seguem um repositório
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #ghostwriter #tem #como #alvo #o #governo #ucraniano #com #phishing #de #pdf #com #cerca #geográfica #e #cobalt #strike
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário