Investigadores da Palo Alto Networks indicam que um grupo russo terá utilizado o ministério dos Negócios Estrangeiros português para levar a cabo uma campanha de spear phishing
A Unit 42 – unidade de pesquisa e ameaças da Palo Alto Networks – publicou uma nova investigação sobre uma nova técnica adotada pelo APT29 para exfiltrar informações das vítimas e entregar cargas úteis aos seus alvos. De acordo com um comunicado enviado pela Unit 42, foi descoberta uma campanha de spear phishing que se acredita ter como alvo embaixadas – nomeadamente portuguesas – para utilizar o Google Drive como forma de fazer o upload de informações de destino e entregas de cargas úteis. Segundo a informação enviada às redações, estas táticas estão a ser utilizadas para evitar a deteção e entrega de Cobalt Strike, provavelmente com o objetivo de roubar informações. Acredita-se ainda que esta campanha tem como alvo várias missões diplomáticas ocidentais, entre maio e junho de 2022, incluindo embaixadas portuguesas e brasileiras. A campanha da Cloaked Ursa utiliza o agendamento de uma falsa reunião com um embaixador como engodo. Em ambos casos, os documentos de phishing continham um link de acesso a um ficheiro HTML malicioso (EnvyScout), que funciona como uma descarga de ficheiros maliciosos adicionais na rede alvo, incluindo uma carga da Cobalt Strike. As últimas campanhas conduzidas pelo grupo APT29 – que foi seguido como Cloaked Ursa, mas também é conhecido como Nobelium ou Cozy Bear – demonstra uma sofisticação em termos de competência para integrar os serviços de armazenamento na cloud populares – como DropBox e Google Drive – para evitar deteção. A Unit 42 indica que a indústria de cibersegurança há muito que considera que a Cloaked Ursa está afiliada com o governo russo, até porque está alinhado com o histórico de alvos do grupo. As mais recentes campanhas mostram que utilizam como chamariz uma agenda para uma reunião futura com um embaixador, tendo a campanha sido levada a cabo contra várias missões diplomáticas de países ocidentais entre maio e junho de 2022. Os ‘engodos’ vinham de embaixadas estrangeiras de Portugal e do Brasil. Em ambos os casos, os documentos continham um link para um ficheiro HTML malicioso que servia como dropper para mais ficheiros maliciosos na rede alvo, incluindo o payload Cobalt Strike. A 24 de maio deste ano, a Unit 42 identificou uma campanha contra um país europeu pertencente à NATO. A campanha consistiu em dois emails para o mesmo país alvo com poucas horas de diferença. Os dois emails continham o mesmo documento ‘Agenda.pdf’ que fornecia um link para uma agenda para uma reunião com o embaixador em Portugal. A Unit 42 indica que publicou esta investigação de forma a “ajudar a consciencializar sobre a campanha ativa para que organizações e governos possam estar atentos a estas táticas utilizadas pela Cloaked Ursa, especialmente porque utilizam criptografia que pode evitar a deteção”, refere em comunicado. |