Microsoft: Hackers Russos Visam Agências do Governo de 24 países

Microsoft: Hackers Russos Visam Agências do Governo de 24 países

O Centro de Inteligência de Ameaças da Microsoft (MSTIC) descobriu que os hackers russos que estavam por trás do recente ataque de supply-chain à empresa SolarWinds, estão agora coordenando uma investida de ataques phishing em andamento, cujos alvos são agências governamentais do mundo todo. 

“Nessa semana, nós acompanhamos ciberataques efetuados pelo grupo de threat actors rastreados como Nobelium pela Microsoft, que visam estruturas governamentais, grupos think tanks, consultores e organizações não governamentais espalhadas pelo globo,” revelou o MSTIC.

“Essa nova onda de ataques já contatou, aproximadamente, 3.000 contas de email de mais de 150 instituições diferentes. 

“Embora as organizações dos Estados Unidos tenham recebido a maior parte das investidas, este ciberataque já abrangeu instituições de pelo menos 24 países.”

Emails phishing são enviados de uma conta hackeada da USAID

Os treat actors da Nobelium por trás desses ataques – provavelmente apoiados pelo governo russo -, enviaram e-mails phishing utilizando uma conta comprometida da agência USAID (um serviço legítimo de email marketing).

A investida começou em janeiro deste ano, e lentamente se transformou em uma série de ataques que culminaram na onda de phishing relacionada a USAID desta semana.

A empresa de cibersegurança Volexity também publicou um relatório vinculando esta campanha de phishing com agentes do Serviço de Inteligência Estrangeiro da Rússia – o SVR -, (rastreados como APT29, Cozy Bear e The Dukes) com base nas táticas usadas pelos operadores em ataques de 2018.

Os ataques de infecção em cadeia e as técnicas de entrega de malware pelo grupo Nobelium evoluíram ao longo dos ataques, culminando no envio de mensagens de proliferação phishing contendo anexos de HTML, possibilitando assim a inserção de um arquivo ISO nos discos rígidos das vítimas.

Depois que as vítimas montavam o ISO, elas eram induzidas a abrir os arquivos contidos nele (atalho LNK ou documentos RTF), que executariam supostamente um DLL agrupado com o documento ou armazenado na imagem ISO, carregando, por fim, um Cobalt Strike Beacon no sistema. 

“Se o dispositivo visado fosse um dispositivo Apple iOS, o usuário era redirecionado para outro servidor sob controle Nobelium, onde o exploit de dia zero corrigido para CVE-2021-1879 era servido”, disse a Microsoft.

“A implantação bem-sucedida desses payloads permite que os atacantes obtenham acesso contínuo aos sistemas comprometidos”, acrescentou.

“Assim, a execução concluída desses payloads maliciosos permite que os atacantes conduzam objetivos de ação, como movimento lateral, exfiltração de dados e entrega de malware adicional.”

Mais detalhes [em inglês], incluindo a motivação dos atacantes, o comportamento malicioso observado pela Microsoft durante os ataques e as melhores práticas para se defender contra este ataque em andamento, podem ser encontrados no relatório do MSTIC.

Os Hackers da SolarWinds

Em dezembro de 2020, a empresa americana de gerenciamento de rede SolarWinds foi violada em um ataque cibernético que permitiu aos invasores lançarem um ataque de supply chain visando os clientes da empresa.

A SolarWinds anunciou uma seleta base de clientes, incluindo pelo menos 425 das 500 organizações mais valiosas dos EUA (entre elas, as dez principais empresas de telecomunicações do país, todas as filiais militares, o Pentágono, a NASA, a NSA, o Serviço Postal, o Departamento de Justiça e o escritório do presidente na Casa Branca).

Os gestores da SolarWinds revelaram, em março deste ano, despesas que giram em torno de US$ 3,5 milhões só no mês de dezembro do ano passado, e prevêem altos custos adicionais ao longo dos próximos períodos.’’

O grupo de hackers por trás do ciberataque à SolarWinds foi rastreado como Nobelium (pela Microsoft), NC2452 (pela FireEye), StellarParticle (pela CrowdStrike), SolarStorm (pela Palo Alto Unit 42) e Dark Halo (pela Volexity).

O governo dos EUA acusou formalmente os treat actors que fazem parte do Serviço de Inteligência Estrangeiro Russo, como o grupo que invadiu a SolarWinds para realizar uma “campanha de ampla espionagem cibernética”.

A Microsoft também disse em fevereiro que os hackers da SolarWinds baixaram o código-fonte de um número limitado de componentes do Azure, Intune e Exchange.

 

Tradução por: Daniel Henrique

Link original

Missão: Firewall como negócio

Seja um Parceiro Starti