Ministério dos Negócios Estrangeiros português utilizado para ciberataque

Investigadores da Palo Alto Networks indicam que um grupo russo terá utilizado o ministério dos Negócios Estrangeiros português para levar a cabo uma campanha de spear phishing

Ministério dos Negócios Estrangeiros português utilizado para ciberataque

A Unit 42 – unidade de pesquisa e ameaças da Palo Alto Networks – publicou uma nova investigação sobre uma nova técnica adotada pelo APT29 para exfiltrar informações das vítimas e entregar cargas úteis aos seus alvos.

De acordo com um comunicado enviado pela Unit 42, foi descoberta uma campanha de spear phishing que se acredita ter como alvo embaixadas – nomeadamente portuguesas – para utilizar o Google Drive como forma de fazer o upload de informações de destino e entregas de cargas úteis.

Segundo a informação enviada às redações, estas táticas estão a ser utilizadas para evitar a deteção e entrega de Cobalt Strike, provavelmente com o objetivo de roubar informações. Acredita-se ainda que esta campanha tem como alvo várias missões diplomáticas ocidentais, entre maio e junho de 2022, incluindo embaixadas portuguesas e brasileiras.

A campanha da Cloaked Ursa utiliza o agendamento de uma falsa reunião com um embaixador como engodo. Em ambos casos, os documentos de phishing continham um link de acesso a um ficheiro HTML malicioso (EnvyScout), que funciona como uma descarga de ficheiros maliciosos adicionais na rede alvo, incluindo uma carga da Cobalt Strike.

As últimas campanhas conduzidas pelo grupo APT29 – que foi seguido como Cloaked Ursa, mas também é conhecido como Nobelium ou Cozy Bear – demonstra uma sofisticação em termos de competência para integrar os serviços de armazenamento na cloud populares – como DropBox e Google Drive – para evitar deteção. A Unit 42 indica que a indústria de cibersegurança há muito que considera que a Cloaked Ursa está afiliada com o governo russo, até porque está alinhado com o histórico de alvos do grupo.

As mais recentes campanhas mostram que utilizam como chamariz uma agenda para uma reunião futura com um embaixador, tendo a campanha sido levada a cabo contra várias missões diplomáticas de países ocidentais entre maio e junho de 2022.

Os ‘engodos’ vinham de embaixadas estrangeiras de Portugal e do Brasil. Em ambos os casos, os documentos continham um link para um ficheiro HTML malicioso que servia como dropper para mais ficheiros maliciosos na rede alvo, incluindo o payload Cobalt Strike.

A 24 de maio deste ano, a Unit 42 identificou uma campanha contra um país europeu pertencente à NATO. A campanha consistiu em dois emails para o mesmo país alvo com poucas horas de diferença. Os dois emails continham o mesmo documento ‘Agenda.pdf’ que fornecia um link para uma agenda para uma reunião com o embaixador em Portugal.

A Unit 42 indica que publicou esta investigação de forma a “ajudar a consciencializar sobre a campanha ativa para que organizações e governos possam estar atentos a estas táticas utilizadas pela Cloaked Ursa, especialmente porque utilizam criptografia que pode evitar a deteção”, refere em comunicado.

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 38 Julho 2022

IT INSIGHT Nº 38 Julho 2022

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.