HomePtNotíciaHackers russos comprometem e-mails da embaixada para atacar governos

Hackers russos comprometem e-mails da embaixada para atacar governos


Analistas de segurança descobriram uma recente campanha de phishing de hackers russos conhecidos como APT29 (Cozy Bear ou Nobelium) visando diplomatas e entidades governamentais.

O APT29 é um ator patrocinado pelo Estado que se concentra em espionagem cibernética e está ativo desde pelo menos 2014. Seu escopo de segmentação é determinado pelos atuais interesses estratégicos geopolíticos russos.

Em uma nova campanha detectada por analistas de ameaças da Mandiant, o APT29 tem como alvo diplomatas e várias agências governamentais por meio de várias campanhas de phishing.

As mensagens pretendem levar atualizações importantes de políticas e se originam de endereços de e-mail legítimos pertencentes a embaixadas.

E-mail de phishing enviado por uma conta comprometida
E-mail de phishing enviado de uma conta comprometida (mandante)

Outro aspecto digno de nota nesta campanha é o abuso da Atlassian Trello e outras plataformas legítimas de serviço em nuvem para comunicação de comando e controle (C2).

Detalhes da campanha de phishing

A campanha de spear phishing começou em janeiro de 2022 e continuou até março de 2022 em várias ondas que giravam em torno de vários temas e eram baseadas em vários endereços de remetentes.

Cronograma da campanha de phishing
Cronograma da campanha de phishing (mandante)

Em todos os casos, os e-mails de phishing se originaram de um endereço de e-mail comprometido legítimo pertencente a um diplomata, portanto, o conteúdo entregue dessa maneira seria mais confiável para os destinatários.

A Mandiant descobriu que os endereços comprometidos foram inicialmente listados como pontos de contato nos sites da embaixada.

O e-mail usou a técnica de contrabando de HTML para entregar um arquivo IMG ou ISO ao destinatário, uma técnica que o APT29 usou várias vezes no passado com grande sucesso, inclusive em ataques SolarWinds.

O arquivo ISO contém um arquivo Windows Shortcut (LNK) que executa um arquivo DLL malicioso incorporado quando clicado.

Para induzir a vítima a clicar, o arquivo LNK finge ser um arquivo de documento com a extensão real oculta e um ícone falso.

queda de malware

A execução da DLL resulta na entrega do downloader BEATDROP, que é executado na memória após criar um thread suspenso para se injetar e se conectar ao Trello para comunicação C2.

O Trello é amplamente usado em ambientes corporativos, portanto, é improvável que o uso de sua API para tráfego de rede malicioso acione sinais críticos de produtos de segurança.

Em esforços posteriores, o APT29 substituiu o BEATDROP por um novo carregador BEACON C++ baseado em Cobalt Strike que apresenta recursos de nível superior.

Esses recursos incluem keylogging, captura de tela, modo de servidor proxy, exfiltração de credenciais de conta, enumeração e varredura de portas.

Ambos os carregadores implementaram o BOOMIC, que é rastreado pela Microsoft como VaporRage, descoberto e analisado em maio de 2021. Em muitos casos, o BOOMIC foi carregado apenas alguns minutos após a implantação do carregador.

O BOOMIC estabelece a persistência modificando o registro do Windows e, em seguida, baixa várias cargas úteis de shellcode ofuscadas e as executa na memória.

A Mandiant observou vários sites comprometidos legítimos operando como C2 da BOOMIC, o que ajuda a evitar problemas de bloqueio de URL.

Fluxo de infecção por malware APT29
Fluxo de implantação de malware APT29 (mandante)

Movimento lateral

Depois de estabelecer uma presença em um ambiente, o APT29 escala privilégios em menos de 12 horas, usando vários métodos, como gravar arquivos que contêm tíquetes Kerberos.

Eles então realizam um extenso reconhecimento de rede para identificar pontos de pivô válidos e obter senhas mais valiosas e, finalmente, se movem lateralmente, colocando mais sinalizadores de Cobalt Strike e BOOMIC em sistemas adjacentes.

“A análise do SharedReality.dll o identificou como um conta-gotas somente de memória escrito na linguagem Go que descriptografa e executa uma carga útil BEACON incorporada. A carga útil do BEACON foi identificada como SMB BEACON, que se comunica por meio de um pipe nomeado SharedReality.dll”, diz Mandiant.

“O APT29 foi então observado usando a representação de um usuário privilegiado para copiar SharedReality.dll para o diretório Temp em vários sistemas. O grupo então o implantou usando uma tarefa agendada chamada SharedRealitySvcDLC, que foi instalada e executada. Depois de executar a tarefa agendada, a tarefa foi encerrada imediatamente” – Mandiant

Independentemente do monitoramento persistente e rigoroso do APT29 por equipes competentes de inteligência de ameaças, o grupo continua sendo uma ameaça de espionagem de alto nível para alvos de alto interesse.

Must Read

%d bloggers like this: