Grupo de ciberespionagem russo visa sistemas de troca de informações entre países da UE

O grupo de ciberespionagem APT29 aproveitou a mais recente visita do ministro dos negócios estrangeiros da Polónia aos EUA como pretexto para enviar emails de phishing com documentos maliciosos aos governos europeus

Grupo de ciberespionagem russo visa sistemas de troca de informações entre países da UE

Um grupo de ciberespionagem APT foi observado a abusar de dois sistemas legítimos de troca de informações utilizados por países europeus, avançou a BlackBerry. O grupo APT29, que os especialistas dizem estar ligado à Rússia, foca-se maioritariamente em ciberespionagem e acredita-se serem patrocinados pelo Estado, através do Serviço de Inteligência Estrangeiro (SVR, na sigla em russo). O grupo também foi denominado Cozy Bear, Dukes, Nobelium e Yttrium. 

Na sua mais recente campanha, o grupo foi visto a enviar emails de phishing com documentos maliciosos anexados a governos da União Europeia, utilizando a recente visita do ministro dos negócios estrangeiros da Polónia aos EUA como pretexto. “Com base na atual situação geopolítica envolvendo a invasão da Ucrânia pela Rússia, a visita do embaixador da Polónia nos EUA e sua talk sobre a guerra, e o abuso do sistema online usado para trocar documentos dentro da União Europeia, acreditamos que o alvo da campanha do Nobelium são os países ocidentais, especialmente os da Europa Ocidental, que fornecem ajuda à Ucrânia”, observa BlackBerry.

O documento inclui um link que leva a um arquivo HTML hospedado num site de uma biblioteca comprometido no El Salvador. O ficheiro é um dropper do APT29 chamado RootSaw e EnvyScout. Depois, um ISO é “dropped” do domínio. A imagem contém dois ficheiros, um link (.lnk) e uma biblioteca DLL. Quando executada, a DLL consegue ganhar resistência através de uma chave de registo recém-criada e começa a colecionar informações sobre o sistema de destino, que envia posteriormente para o seu servidor de command and control (C&C).

Mais, a BlackBerry afirma que os cibercriminosos também se têm aproveitado de sistemas legítimos como o LegisWrite e eTrustEx – dois serviços oficiais utilizados para partilhar dados entre os governos europeus. “O LegisWrite é um programa de edição que permite a criação, revisão e intercâmbio seguro de documentos entre governos dentro da União Europeia. O facto de o LegisWrite ser utlizado como isca maliciosa indica que o ator de ameaça por trás está a visar especificamente organizações estatais dentro da União Europeia”, dizem os peritos da BlackBerry.

O grupo abusa da API de uma aplicação de notas chamada Notion for C&C, comumente utilizada, que permite disfarçar a sua atividade.

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 52 Novembro 2024

IT INSIGHT Nº 52 Novembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.