Pesquisadores vinculados à Cert-UA (Equipe de Resposta a Emergência de Computadores, na sigla em inglês) da Ucrânia detectaram duas campanhas de hackers contra o país nesta segunda-feira (20). Uma utilizava um falso documento de cobrança de impostos, enviado pela agência tributária nacional, e outra apresentava um documento malicioso que discutia uma ameaça de ataque nuclear vinda da Rússia.

De acordo com as autoridades, o primeiro documento, intitulado “Imposição de Penalidades”, era compatível com o Microsoft Word e falsamente atribuído à receita federal da Ucrânia. Se aberto, o arquivo com boleto falso carregaria o malware Cobalt Strike Beacon, que forneceria ao invasor uma conexão com o sistema de destino e potencialmente permitiria um comportamento malicioso.

publicidade

Compilado em 16 de junho, o documento foi rastreado e atribuído ao grupo UAC-0098. Este coletivo já foi responsabilizado por outros ataques a entidades ucranianas e possui conexões com o TrickBot, uma variante de malware associada a várias organizações cibercriminosas.

De acordo com o Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia, a campanha dos hackers visava destruir uma infraestrutura crítica — porém não especificada — no país.

Leia mais:

Segundo ataque aproveitava falha em execução remota de código

O outro ataque identificado pela Cert-UA usava um arquivo de texto com código malicioso para lançar o malware CredoMap. De acordo com a agência, é possível associar a atividade detectada ao grupo APT28 (ou Fancy Bear), uma prolífica equipe de hackers da inteligência militar russa.

O ataque explorou uma vulnerabilidade na execução remota de código (RCE) rastreada como CVE-2022-30190 e apelidada de “Follina”. Ela permitia ao invasor assumir o controle do sistema afetado, alertou a Agência de Segurança Cibernética do país em um aviso do dia 31 de maio.

Os metadados associados ao arquivo indicam que o documento foi modificado pela última vez em 9 de junho, sugerindo que sua distribuição pelos hackers tenha começado no dia seguinte, segundo informações da agência da Ucrânia.

Crédito da imagem principal: Ozrimoz/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!