Grupos Russos de APT Intensificam os Ataques Cibernéticos na Ucrânia
À medida em que a guerra na Ucrânia vai e vem, com os atuais acordos de cessar-fogo e os esforços para evacuar com segurança a população civil, o conflito ainda continua no ciber-espaço. De acordo com os relatórios do Grupo de Análise de Ameaças do Google, dois APTs que apoiam o governo russo estão atacando alvos ucranianos e um equipamento chinês está usando a situação atual para atacar alvos europeus.
APTs Russos e Chineses têm como Alvo a Ucrânia e a Europa
As duas entidades pró-russas que o Google destaca como líderes dos atuais ataques cibernéticos a alvos ucranianos são o Fancy Bear, também conhecido como APT28, e o Ghostwriter – um grupo ativo de ameaças persistentes que estava ligado à Bielorrússia no final de 2021.
O Google também está relatando um aumento na atividade do APT chamadoMustang Panda, que está ligado a atores chineses. A empresa chinesa está atualmente atacando entidades sediadas na Europa, usando iscas de phishing relacionadas ao conflito em andamento e ao fluxo de refugiados em vários países europeus.
Os ataques de phishing lançados por APTs pró-Rússia usam endereços de e-mail previamente comprometidos e redirecionam potenciais vítimas para páginas controladas pelo APT - procedimento de phishing amplamente padrão. O Google detectou o Ghostwriter lançando campanhas de phishing contra entidades militares e governamentais ucranianas e polonesas.
O Google informou que vários domínios usados para phishing de credenciais já foram bloqueados por meio da funcionalidade de "navegação segura" do Google. Os domínios incluíam nomes incomuns como "i dot ua-passport dot top" e "login dot credenciais-email dot space".
O Mustang Panda Se Aproveita da Situação Atual dos Refugiados
Enquanto isso, o Mustang Panda da China está enviando iscas de phishing para entidades europeias, anexando arquivos maliciosos nos e-mails com nomes que sugerem algum tipo de informação importante ou urgência. O relatório do Google menciona anexos com nomes de arquivos como "Situação nas fronteiras da UE com Ukraine.zip". O anexo conteria um arquivo executável que funciona como um downloader para a carga final.
O Grupo de Análise de Ameaças do Google já tomou as providências necessárias e notificou todas as entidades e autoridades dos países visados pelas campanhas de phishing.