⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça anteriormente não documentado, apelidado de GREYVIBE, foi atribuído a ataques contínuos e persistentes contra a Ucrânia e entidades relacionadas com a Ucrânia desde pelo menos agosto de 2025.
GREYVIBE, de acordo com WithSecure, é avaliado como um grupo de língua russa que opera amplamente no fuso horário russo, com atividades alinhadas com os interesses do Estado do Kremlin, especificamente quando se trata de esforços de coleta de inteligência direcionados à Ucrânia no contexto da guerra russo-ucraniana em curso.
“O grupo aproveitou vários vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos, para entregar malware a um conjunto diversificado de vítimas”, disse o pesquisador do WithSecure, Mohammad Kazem Hassan Nejad, em uma análise. “Ao longo dessas campanhas, o grupo contou com ofuscadores, carregadores e malware desenvolvidos sob medida.”
A pegada da vitimologia abrange organizações militares, governamentais, civis e empresariais. A GREYVIBE, apesar da sua atividade afiliada ao Estado-nação, também partilha laços com o ecossistema mais amplo do crime cibernético russo através de alguns dos seus membros que se acredita serem atuais ou antigos atores cibercriminosos.
Além disso, há evidências que indicam que o adversário depende da inteligência artificial generativa (GenAI) e de grandes modelos de linguagem (LLMs) para turbinar as suas operações. Em conjunto, o WithSecure pinta a imagem de um “grupo pouco a moderadamente sofisticado” que sofre erros de segurança operacional e emprega ferramentas assistidas por IA para aumentar seus esforços de desenvolvimento de malware.
GREYVIBE foi observado usando múltiplas cadeias de ataque contra seus alvos -
PhantomMail, que usa e-mails de spear-phishing para distribuir links apontando para arquivos ZIP ou RAR maliciosos hospedados no Google Drive e 4sync que contém carregadores baseados em JavaScript para lançar um documento chamariz, e PhantomRelay, um trojan de acesso remoto (RAT) baseado em PowerShell projetado para criar o perfil do host e executar scripts do PowerShell e comandos do Windows.
PhantomClick, que usa páginas CAPTCHA falsas no estilo ClickFix em domínios falsos disfarçados de Zoom e LAPAS para induzir os usuários a executar comandos que iniciam uma cadeia de infecção do PhantomRelay.
PrincessClub, que usa sites falsos de clubes adultos ucranianos para fornecer FallSpy no Android e PhantomRelayV1 ou LegionRelay no Windows, com iterações subsequentes dos sites de atração introduzindo um recurso de chamada ao vivo baseado em WebRTC para capturar áudio e vídeo da vítima. Embora FallSpy seja um spyware Android capaz de coletar dados confidenciais do dispositivo comprometido, LegionRelay é um RAT leve baseado em PowerShell que suporta enumeração de arquivos, exfiltração de arquivos, captura de tela, roubo de dados do navegador, exfiltração de dados de Telegram e WhatsApp e configuração de acesso RDP. PhantomRelayV1 é uma variante do PhantomRelay com um mecanismo de persistência de watchdog personalizado.
DroneLink, que usa sites disfarçados de fundações de caridade que apoiam as Forças Armadas da Ucrânia para fornecer WireGuard e LegionRelay.
Nebo, que usa uma amostra do FallSpy que imita uma tela de login em russo, provavelmente na tentativa de enganar militares ucranianos, fazendo-os pensar que estavam acessando um terminal militar russo.
A variedade de vetores de entrega e ferramentas usadas nos ataques provavelmente decorre do uso de plataformas de IA, incluindo Ideogram AI, OpenAI ChatGPT e Google Gemini, para auxiliar na geração de imagens e no desenvolvimento de LegionRelay, bem como ofuscação e scripts de carregamento, infraestrutura de back-end e comandos pós-comprometimento.
A empresa de segurança cibernética disse que o uso de IA pela GREYVIBE oferece múltiplas vantagens, incluindo preencher lacunas no conhecimento técnico, acelerar o ciclo de vida de desenvolvimento e reduzir a dependência de malware ou ferramentas anteriormente conhecidas que poderiam ajudar nos esforços de atribuição.
“Se um ator puder frequentemente gerar, refatorar ou substituir componentes de sua pegada operacional com assistência de IA, os métodos tradicionais de cluster baseados em artefatos técnicos estáveis podem se tornar menos confiáveis com o tempo”, disse Nejad.
Dito isto, o uso de IA também teve o efeito colateral de introduzir falhas de design no LegionRelay, expondo a funcionalidade de back-end do malware. Este é outro sinal que sugere que a GREYVIBE pode não ser um actor puramente estatal, uma vez que é pouco provável que adversários sofisticados cometam tais erros.
As ligações do grupo de hackers ao ecossistema cibercriminoso baseiam-se em múltiplos fatores -
Possível acesso e uso de um construtor ISO com suspeita de ligação com a gangue TrickBot e UAC-0098
Presença de variantes PhantomRelay em clusters de atividades de crimes cibernéticos aparentemente não relacionados, como uma campanha de phishing de voz do Microsoft Teams entre julho de 2025 e fevereiro de 2026, e uma cadeia de entrega KongTuke entre o final de fevereiro e o final de março de 2026 que usou ClickFix para distribuir o malware.
T
GREYVIBE, de acordo com WithSecure, é avaliado como um grupo de língua russa que opera amplamente no fuso horário russo, com atividades alinhadas com os interesses do Estado do Kremlin, especificamente quando se trata de esforços de coleta de inteligência direcionados à Ucrânia no contexto da guerra russo-ucraniana em curso.
“O grupo aproveitou vários vetores de ataque, incluindo e-mails de spear-phishing, páginas falsas de captcha e sites fraudulentos de clubes adultos ucranianos, para entregar malware a um conjunto diversificado de vítimas”, disse o pesquisador do WithSecure, Mohammad Kazem Hassan Nejad, em uma análise. “Ao longo dessas campanhas, o grupo contou com ofuscadores, carregadores e malware desenvolvidos sob medida.”
A pegada da vitimologia abrange organizações militares, governamentais, civis e empresariais. A GREYVIBE, apesar da sua atividade afiliada ao Estado-nação, também partilha laços com o ecossistema mais amplo do crime cibernético russo através de alguns dos seus membros que se acredita serem atuais ou antigos atores cibercriminosos.
Além disso, há evidências que indicam que o adversário depende da inteligência artificial generativa (GenAI) e de grandes modelos de linguagem (LLMs) para turbinar as suas operações. Em conjunto, o WithSecure pinta a imagem de um “grupo pouco a moderadamente sofisticado” que sofre erros de segurança operacional e emprega ferramentas assistidas por IA para aumentar seus esforços de desenvolvimento de malware.
GREYVIBE foi observado usando múltiplas cadeias de ataque contra seus alvos -
PhantomMail, que usa e-mails de spear-phishing para distribuir links apontando para arquivos ZIP ou RAR maliciosos hospedados no Google Drive e 4sync que contém carregadores baseados em JavaScript para lançar um documento chamariz, e PhantomRelay, um trojan de acesso remoto (RAT) baseado em PowerShell projetado para criar o perfil do host e executar scripts do PowerShell e comandos do Windows.
PhantomClick, que usa páginas CAPTCHA falsas no estilo ClickFix em domínios falsos disfarçados de Zoom e LAPAS para induzir os usuários a executar comandos que iniciam uma cadeia de infecção do PhantomRelay.
PrincessClub, que usa sites falsos de clubes adultos ucranianos para fornecer FallSpy no Android e PhantomRelayV1 ou LegionRelay no Windows, com iterações subsequentes dos sites de atração introduzindo um recurso de chamada ao vivo baseado em WebRTC para capturar áudio e vídeo da vítima. Embora FallSpy seja um spyware Android capaz de coletar dados confidenciais do dispositivo comprometido, LegionRelay é um RAT leve baseado em PowerShell que suporta enumeração de arquivos, exfiltração de arquivos, captura de tela, roubo de dados do navegador, exfiltração de dados de Telegram e WhatsApp e configuração de acesso RDP. PhantomRelayV1 é uma variante do PhantomRelay com um mecanismo de persistência de watchdog personalizado.
DroneLink, que usa sites disfarçados de fundações de caridade que apoiam as Forças Armadas da Ucrânia para fornecer WireGuard e LegionRelay.
Nebo, que usa uma amostra do FallSpy que imita uma tela de login em russo, provavelmente na tentativa de enganar militares ucranianos, fazendo-os pensar que estavam acessando um terminal militar russo.
A variedade de vetores de entrega e ferramentas usadas nos ataques provavelmente decorre do uso de plataformas de IA, incluindo Ideogram AI, OpenAI ChatGPT e Google Gemini, para auxiliar na geração de imagens e no desenvolvimento de LegionRelay, bem como ofuscação e scripts de carregamento, infraestrutura de back-end e comandos pós-comprometimento.
A empresa de segurança cibernética disse que o uso de IA pela GREYVIBE oferece múltiplas vantagens, incluindo preencher lacunas no conhecimento técnico, acelerar o ciclo de vida de desenvolvimento e reduzir a dependência de malware ou ferramentas anteriormente conhecidas que poderiam ajudar nos esforços de atribuição.
“Se um ator puder frequentemente gerar, refatorar ou substituir componentes de sua pegada operacional com assistência de IA, os métodos tradicionais de cluster baseados em artefatos técnicos estáveis podem se tornar menos confiáveis com o tempo”, disse Nejad.
Dito isto, o uso de IA também teve o efeito colateral de introduzir falhas de design no LegionRelay, expondo a funcionalidade de back-end do malware. Este é outro sinal que sugere que a GREYVIBE pode não ser um actor puramente estatal, uma vez que é pouco provável que adversários sofisticados cometam tais erros.
As ligações do grupo de hackers ao ecossistema cibercriminoso baseiam-se em múltiplos fatores -
Possível acesso e uso de um construtor ISO com suspeita de ligação com a gangue TrickBot e UAC-0098
Presença de variantes PhantomRelay em clusters de atividades de crimes cibernéticos aparentemente não relacionados, como uma campanha de phishing de voz do Microsoft Teams entre julho de 2025 e fevereiro de 2026, e uma cadeia de entrega KongTuke entre o final de fevereiro e o final de março de 2026 que usou ClickFix para distribuir o malware.
T
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #novo #greyvibe #vinculado #à #rússia #visa #a #ucrânia #com #ataques #cibernéticos #alimentados #por #ia
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário