Pesquisadores vinculados à Cert-UA (Equipe de Resposta a Emergência de Computadores, na sigla em inglês) da Ucrânia detectaram duas campanhas de hackers contra o país nesta segunda-feira (20). Uma utilizava um falso documento de cobrança de impostos, enviado pela agência tributária nacional, e outra apresentava um documento malicioso que discutia uma ameaça de ataque nuclear vinda da Rússia.
De acordo com as autoridades, o primeiro documento, intitulado “Imposição de Penalidades”, era compatível com o Microsoft Word e falsamente atribuído à receita federal da Ucrânia. Se aberto, o arquivo com boleto falso carregaria o malware Cobalt Strike Beacon, que forneceria ao invasor uma conexão com o sistema de destino e potencialmente permitiria um comportamento malicioso.
Compilado em 16 de junho, o documento foi rastreado e atribuído ao grupo UAC-0098. Este coletivo já foi responsabilizado por outros ataques a entidades ucranianas e possui conexões com o TrickBot, uma variante de malware associada a várias organizações cibercriminosas.
De acordo com o Serviço Estatal de Comunicações Especiais e Proteção de Informações da Ucrânia, a campanha dos hackers visava destruir uma infraestrutura crítica — porém não especificada — no país.
Leia mais:
- Rússia x Ucrânia: Wikipédia se posiciona contra ordem russa para remover informações sobre a guerra
- Download do Windows 10 e 11 é bloqueado na Rússia, mas ninguém ainda sabe o motivo
- Rússia redireciona tráfego de internet em terras ocupadas no sul da Ucrânia
Segundo ataque aproveitava falha em execução remota de código
O outro ataque identificado pela Cert-UA usava um arquivo de texto com código malicioso para lançar o malware CredoMap. De acordo com a agência, é possível associar a atividade detectada ao grupo APT28 (ou Fancy Bear), uma prolífica equipe de hackers da inteligência militar russa.
O ataque explorou uma vulnerabilidade na execução remota de código (RCE) rastreada como CVE-2022-30190 e apelidada de “Follina”. Ela permitia ao invasor assumir o controle do sistema afetado, alertou a Agência de Segurança Cibernética do país em um aviso do dia 31 de maio.
Os metadados associados ao arquivo indicam que o documento foi modificado pela última vez em 9 de junho, sugerindo que sua distribuição pelos hackers tenha começado no dia seguinte, segundo informações da agência da Ucrânia.
Crédito da imagem principal: Ozrimoz/Shutterstock
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: