kok@s
GForum VIP
- Entrou
- Dez 9, 2019
- Mensagens
- 10,363
- Gostos Recebidos
- 452
Em tempo recorde, hackers ligados ao Estado russo exploraram uma vulnerabilidade crítica do Microsoft Office, conseguindo comprometer dispositivos em organizações diplomáticas, marítimas e de transportes em mais de meia dúzia de países, nomeadamente Ucrânia e Polónia.
Conforme avançado por investigadores, ontem, menos de 48 horas depois de a Microsoft ter lançado uma atualização de segurança urgente e não programada para o Office, no final do mês passado, um grupo de hackers explorou a vulnerabilidade.
Após aplicar engenharia inversa à correção, os membros do grupo, sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy, escreveram um exploit avançado que instalava um de dois backdoors nunca antes vistos.
Segundo os investigadores, toda a iniciativa foi concebida para tornar a invasão indetetável pelos sistemas de proteção de endpoints.
Além de serem inéditos, os exploits e os payloads estavam encriptados e executavam-se em memória, o que tornava difícil detetar o comportamento malicioso.
Segundo descrito, em última análise, a vulnerabilidade identificada pela Microsoft no Office podia levar à exposição ou alteração de dados sensíveis, falha do sistema ou execução de código arbitrário.
O vetor inicial teve origem em contas governamentais previamente comprometidas em vários países e era provavelmente familiar aos destinatários dos e-mails visados.
Além disso, os canais de comando e controlo estavam alojados em serviços legítimos de cloud que normalmente são permitidos dentro de redes sensíveis.
Escreveram os investigadores da empresa de segurança Trellix, explicando que "a cadeia modular de infeção da iniciativa, desde o phishing inicial até ao backdoor em memória e às implementações secundárias, foi cuidadosamente desenhada para tirar partido de canais de confiança (HTTPS para serviços cloud, fluxos legítimos de e-mail) e técnicas sem ficheiros, escondendo-se à vista de todos".
Aquando da invasão da Ucrânia pela Rússia, em 2022, a autoridade de cibersegurança ucraniana disse estar a travar uma guerra digital, além daquela que o país estava a enfrentar no terreno. Desde logo, a Ucrânia começou a ser vítima de ciberataques constantes que visavam o governo e as infraestruturas, com funcionários individuais a serem, também, um alvo.
A iniciativa de spear phishing, com duração de 72 horas, começou a 28 de janeiro e enviou pelo menos 29 e-mails distintos a organizações em nove países, sobretudo na Europa de Leste.
A Trellix identificou oito deles:
As organizações visadas incluíam ministérios da Defesa (40%), operadores de transporte e logística (35%) e entidades diplomáticas (25%).
Com base em indicadores técnicos e nos alvos selecionados, a Trellix atribuiu a iniciativa ao grupo APT28 com "elevada confiança".
Escreveu a Trellix, conforme citado. Mais do que isso, "o conjunto de ferramentas e técnicas está, também, alinhado com a assinatura do APT28".
Entretanto, a empresa de segurança disponibilizou uma lista de indicadores que as organizações podem usar para determinar se foram alvo destes ataques.
pp
Conforme avançado por investigadores, ontem, menos de 48 horas depois de a Microsoft ter lançado uma atualização de segurança urgente e não programada para o Office, no final do mês passado, um grupo de hackers explorou a vulnerabilidade.
Após aplicar engenharia inversa à correção, os membros do grupo, sob nomes como APT28, Fancy Bear, Sednit, Forest Blizzard e Sofacy, escreveram um exploit avançado que instalava um de dois backdoors nunca antes vistos.
Segundo os investigadores, toda a iniciativa foi concebida para tornar a invasão indetetável pelos sistemas de proteção de endpoints.
Além de serem inéditos, os exploits e os payloads estavam encriptados e executavam-se em memória, o que tornava difícil detetar o comportamento malicioso.
Segundo descrito, em última análise, a vulnerabilidade identificada pela Microsoft no Office podia levar à exposição ou alteração de dados sensíveis, falha do sistema ou execução de código arbitrário.
O vetor inicial teve origem em contas governamentais previamente comprometidas em vários países e era provavelmente familiar aos destinatários dos e-mails visados.
Além disso, os canais de comando e controlo estavam alojados em serviços legítimos de cloud que normalmente são permitidos dentro de redes sensíveis.
Escreveram os investigadores da empresa de segurança Trellix, explicando que "a cadeia modular de infeção da iniciativa, desde o phishing inicial até ao backdoor em memória e às implementações secundárias, foi cuidadosamente desenhada para tirar partido de canais de confiança (HTTPS para serviços cloud, fluxos legítimos de e-mail) e técnicas sem ficheiros, escondendo-se à vista de todos".
Aquando da invasão da Ucrânia pela Rússia, em 2022, a autoridade de cibersegurança ucraniana disse estar a travar uma guerra digital, além daquela que o país estava a enfrentar no terreno. Desde logo, a Ucrânia começou a ser vítima de ciberataques constantes que visavam o governo e as infraestruturas, com funcionários individuais a serem, também, um alvo.
Países da Europa de Leste terão sido os mais visados pelos hackers
A iniciativa de spear phishing, com duração de 72 horas, começou a 28 de janeiro e enviou pelo menos 29 e-mails distintos a organizações em nove países, sobretudo na Europa de Leste.
A Trellix identificou oito deles:
- Polónia;
- Eslovénia;
- Turquia;
- Grécia;
- Emirados Árabes Unidos;
- Ucrânia;
- Roménia;
- Bolívia.
As organizações visadas incluíam ministérios da Defesa (40%), operadores de transporte e logística (35%) e entidades diplomáticas (25%).
Com base em indicadores técnicos e nos alvos selecionados, a Trellix atribuiu a iniciativa ao grupo APT28 com "elevada confiança".
Escreveu a Trellix, conforme citado. Mais do que isso, "o conjunto de ferramentas e técnicas está, também, alinhado com a assinatura do APT28".
Entretanto, a empresa de segurança disponibilizou uma lista de indicadores que as organizações podem usar para determinar se foram alvo destes ataques.
pp