- Detalhes do NCSC no Reino Unido Uso de uma peça de malware de palhaçadas autênticas
- É atribuído ao APT28 e supostamente usado contra empresas ocidentais ajudando a Ucrânia
- O Reino Unido sancionou 20 indivíduos suspeitos de estar envolvido
Os cibercriminosos russos estão visando contas do Microsoft 365 com malware especializado, alertou o braço de segurança cibernética do governo do Reino Unido.
O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) publicou um novo mergulho técnico profundo, detalhando uma “peça sofisticada de malware” chamada palhaçadas autênticas, avistadas pela primeira vez em 2023, mas apenas agora atribuídas à APT28 – um ator de ameaças conhecido e patrocinado pelo Estado da Rússia, trabalhando para a equipe geral do país (GRU).
O APT28 também é conhecido como Urso Fancy ou Blizzard da Floresta e foi atribuído a muitas campanhas de alto perfil cibernética em todo o Ocidente.
Faking Microsoft Login
Embora o NCSC não detalhe como o malware é implantado, ele especula que é mais provável através de e-mails de phishing ou complementos maliciosos do Outlook.
Depois de executar na máquina de destino, ele tem como alvo o Microsoft Outlook, procurando roubar credenciais de login e tokens OAuth 2.0 para serviços da Microsoft, como Exchange Online, SharePoint ou OneDrive.
Funciona, mostrando esporadicamente o login solicita que imite o Windows de autenticação da Microsoft. Ele usa a digitação ambiental para garantir que apenas ativa em máquinas específicas e, uma vez que as vítimas tentem fazer login – as informações são transmitidas aos atacantes.
Para exfiltração, as palhaçadas autênticas usam a caixa de entrada de e -mail da vítima, enviando as informações em um email que mais tarde é excluído da pasta “enviada”.
As palhaçadas autênticas fazem parte de uma campanha mais ampla de espionagem cibernética, visando organizações ocidentais – especialmente aquelas que apóiam a Ucrânia em seu esforço de guerra contra a Rússia.
Embora os nomes não tenham sido mencionados, o NCSC dizia que as organizações de logística e transporte direcionadas do APT28, empresas de tecnologia com acesso aos serviços em nuvem da Microsoft, entidades governamentais em países da OTAN e infraestrutura mais ampla, como câmeras conectadas à Internet em cruzamentos de fronteiras, usados para rastrear remessas para a Ucrânia.
Como resultado das descobertas, o Reino Unido sancionou agentes da GRU, que incluíram três unidades e 18 oficiais, Reuters relatado.
Via O registro
Fique conectado