🌟 Atualização imperdível para quem gosta de estar bem informado!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um provável grupo de ameaças russo rastreado como GreyVibe tem usado iscas geradas por IA e um rico conjunto de ferramentas de malware personalizadas para atingir entidades nos setores militar, governamental, civil e empresarial.
A campanha de ciberespionagem está ativa pelo menos desde agosto de 2025 e parece alinhar-se com os interesses do Estado russo, embora os investigadores não possam classificá-la com segurança como uma operação do Estado-nação.
A empresa de segurança cibernética WithSecure descobriu a atividade em janeiro deste ano e determinou que seu foco estava em organizações ucranianas ou relacionadas à Ucrânia.
O link para um agente de ameaça que fala russo é suportado pelo idioma dos painéis de malware, comentários em artefatos de código e horário do servidor de comando e controle (C2) configurado para UTC+3 (horário de Moscou).
Segundo os pesquisadores, GreyVibe usou diversas cadeias de ataque contra seus alvos, incluindo:
PhantomMail: E-mails de spear-phishing que entregam arquivos ZIP/RAR maliciosos via Google Drive e links 4sync, usando PDFs falsos ou erros falsos durante a implantação de malware. As iscas observadas representavam entidades governamentais, de emergência, de telecomunicações e de energia ucranianas.
PhantomClick: páginas falsas de CAPTCHA/ClickFix disfarçadas de sites Zoom e LAPAS enganam as vítimas para que executem comandos de autoinfecção por meio de falsos prompts de verificação da Cloudflare.
PrincessClub: Sites falsos ucranianos para adultos/namoro que entregam spyware FallSpy para Android e malware PhantomRelay/LegionRelay para Windows. As operadoras usaram falsas personas femininas do Telegram e posteriormente adicionaram chamadas ao vivo baseadas em WebRTC que poderiam capturar o áudio/vídeo da vítima.
DroneLink: Sites falsos de caridade militar ucraniana com tema de drones FPV e UAVs compartilharam infraestrutura e ferramentas com campanhas PrincessClub.
Nebo: As falsas páginas de login de comunicações militares russas “СПО НЕБО” provavelmente foram projetadas para enganar os militares ucranianos, fazendo-os acreditar que estavam acessando um terminal militar russo.
A diversidade e a qualidade dessas iscas são notáveis, e a WithSecure afirma que isso é o resultado do uso de várias ferramentas de IA, incluindo ChatGPT, Ideogram AI e Google Gemini, para gerar conteúdo detalhado e realista para apoiá-las.
Marcadores LLM em imagens usadas por GreyVibesource: WithSecure
O uso de IA também se estende à criação de ferramentas, com os pesquisadores mencionando LOOKVALPS, LOOKVALJS, DAYLIGHT e TEASOUP, todos ofuscadores personalizados que provavelmente foram desenvolvidos com assistência do LLM.
Um trojan de acesso remoto baseado em PowerShell chamado LegionRelay provavelmente também foi desenvolvido com a ajuda de ferramentas de IA, dizem os pesquisadores.
LegionRelay suporta roubo de arquivos, captura de tela, roubo de credenciais do navegador, exfiltração de dados de Telegram e WhatsApp e configuração de acesso RDP.
Outro malware usado pelo GreyVibe é o PhantomRelay, também um PowerShell RAT. O malware suporta impressão digital do sistema, carregamento dinâmico de scripts e execução de comandos do PowerShell e do Windows.
Visão geral de malware e associações de campanhaFonte: WithSecure
Finalmente, os hackers empregaram o spyware FallSpy Android nas campanhas PrincessClub e Nebo, que foi projetado exclusivamente para coletar informações.
O malware coleta listas de contatos, registros de chamadas, informações de dispositivos e rede, dados de localização, arquivos de mídia e informações do SIM.
WithSecure observa que, embora a atividade do GreyVibe seja consistente com uma operação do Estado-nação, o ator da ameaça “faltava o nível de sofisticação e disciplina operacional normalmente associado a atores do Estado-nação maduros”.
Além disso, o malware PhantomRelay foi observado em atividades de crimes cibernéticos, embora os pesquisadores pudessem distinguir seu uso de operações alinhadas pelo Estado. Isso levou os pesquisadores a acreditar que GreyVibe pode incluir “atores cibercriminosos atuais ou antigos”.
Algumas evidências que apontam para esta teoria incluem o uso em amostras iniciais e de teste de um construtor ISO exclusivo associado a um grupo de ex-membros do TrickBot (UAC-0098) que tinha como alvo a Ucrânia no início da invasão russa.
Além disso, o agente da ameaça carregou amostras de desenvolvimento e de teste numa plataforma pública de digitalização, o que não é típico dos intervenientes estatais. Além disso, um minerador de criptomoedas foi implantado em algumas máquinas das vítimas.
Os pesquisadores não têm certeza “se antigos ou atuais membros dos cibercriminosos foram absorvidos por um grupo apoiado pelo Estado, operam de forma independente, mas com tarefas dirigidas pelo Estado, ou formaram uma equipe híbrida envolvendo membros afiliados ao Estado e cibercriminosos”.
As organizações podem configurar defesas contra atividades maliciosas do GreyVibe usando os indicadores de comprometimento (IoCs) fornecidos pelo WithSecure.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram construídos para testar se
A campanha de ciberespionagem está ativa pelo menos desde agosto de 2025 e parece alinhar-se com os interesses do Estado russo, embora os investigadores não possam classificá-la com segurança como uma operação do Estado-nação.
A empresa de segurança cibernética WithSecure descobriu a atividade em janeiro deste ano e determinou que seu foco estava em organizações ucranianas ou relacionadas à Ucrânia.
O link para um agente de ameaça que fala russo é suportado pelo idioma dos painéis de malware, comentários em artefatos de código e horário do servidor de comando e controle (C2) configurado para UTC+3 (horário de Moscou).
Segundo os pesquisadores, GreyVibe usou diversas cadeias de ataque contra seus alvos, incluindo:
PhantomMail: E-mails de spear-phishing que entregam arquivos ZIP/RAR maliciosos via Google Drive e links 4sync, usando PDFs falsos ou erros falsos durante a implantação de malware. As iscas observadas representavam entidades governamentais, de emergência, de telecomunicações e de energia ucranianas.
PhantomClick: páginas falsas de CAPTCHA/ClickFix disfarçadas de sites Zoom e LAPAS enganam as vítimas para que executem comandos de autoinfecção por meio de falsos prompts de verificação da Cloudflare.
PrincessClub: Sites falsos ucranianos para adultos/namoro que entregam spyware FallSpy para Android e malware PhantomRelay/LegionRelay para Windows. As operadoras usaram falsas personas femininas do Telegram e posteriormente adicionaram chamadas ao vivo baseadas em WebRTC que poderiam capturar o áudio/vídeo da vítima.
DroneLink: Sites falsos de caridade militar ucraniana com tema de drones FPV e UAVs compartilharam infraestrutura e ferramentas com campanhas PrincessClub.
Nebo: As falsas páginas de login de comunicações militares russas “СПО НЕБО” provavelmente foram projetadas para enganar os militares ucranianos, fazendo-os acreditar que estavam acessando um terminal militar russo.
A diversidade e a qualidade dessas iscas são notáveis, e a WithSecure afirma que isso é o resultado do uso de várias ferramentas de IA, incluindo ChatGPT, Ideogram AI e Google Gemini, para gerar conteúdo detalhado e realista para apoiá-las.
Marcadores LLM em imagens usadas por GreyVibesource: WithSecure
O uso de IA também se estende à criação de ferramentas, com os pesquisadores mencionando LOOKVALPS, LOOKVALJS, DAYLIGHT e TEASOUP, todos ofuscadores personalizados que provavelmente foram desenvolvidos com assistência do LLM.
Um trojan de acesso remoto baseado em PowerShell chamado LegionRelay provavelmente também foi desenvolvido com a ajuda de ferramentas de IA, dizem os pesquisadores.
LegionRelay suporta roubo de arquivos, captura de tela, roubo de credenciais do navegador, exfiltração de dados de Telegram e WhatsApp e configuração de acesso RDP.
Outro malware usado pelo GreyVibe é o PhantomRelay, também um PowerShell RAT. O malware suporta impressão digital do sistema, carregamento dinâmico de scripts e execução de comandos do PowerShell e do Windows.
Visão geral de malware e associações de campanhaFonte: WithSecure
Finalmente, os hackers empregaram o spyware FallSpy Android nas campanhas PrincessClub e Nebo, que foi projetado exclusivamente para coletar informações.
O malware coleta listas de contatos, registros de chamadas, informações de dispositivos e rede, dados de localização, arquivos de mídia e informações do SIM.
WithSecure observa que, embora a atividade do GreyVibe seja consistente com uma operação do Estado-nação, o ator da ameaça “faltava o nível de sofisticação e disciplina operacional normalmente associado a atores do Estado-nação maduros”.
Além disso, o malware PhantomRelay foi observado em atividades de crimes cibernéticos, embora os pesquisadores pudessem distinguir seu uso de operações alinhadas pelo Estado. Isso levou os pesquisadores a acreditar que GreyVibe pode incluir “atores cibercriminosos atuais ou antigos”.
Algumas evidências que apontam para esta teoria incluem o uso em amostras iniciais e de teste de um construtor ISO exclusivo associado a um grupo de ex-membros do TrickBot (UAC-0098) que tinha como alvo a Ucrânia no início da invasão russa.
Além disso, o agente da ameaça carregou amostras de desenvolvimento e de teste numa plataforma pública de digitalização, o que não é típico dos intervenientes estatais. Além disso, um minerador de criptomoedas foi implantado em algumas máquinas das vítimas.
Os pesquisadores não têm certeza “se antigos ou atuais membros dos cibercriminosos foram absorvidos por um grupo apoiado pelo Estado, operam de forma independente, mas com tarefas dirigidas pelo Estado, ou formaram uma equipe híbrida envolvendo membros afiliados ao Estado e cibercriminosos”.
As organizações podem configurar defesas contra atividades maliciosas do GreyVibe usando os indicadores de comprometimento (IoCs) fornecidos pelo WithSecure.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram construídos para testar se
#samirnews #samir #news #boletimtec #hackers #greyvibe #usam #chatgpt, #gemini #para #potencializar #ataques #cibernéticos
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário