Cibercriminosos ligados à Rússia APT28 (UAC-0028) espalham malware CredoMap_v2 em um ataque de phishing na Ucrânia

[post-views]
Maio 09, 2022 · 4 min de leitura
Cibercriminosos ligados à Rússia APT28 (UAC-0028) espalham malware CredoMap_v2 em um ataque de phishing na Ucrânia

No decorrer de uma guerra cibernética em andamento, coletivos de hackers vinculados à Rússia estão procurando novas maneiras de incapacitar as organizações ucranianas no domínio cibernético. Em 6 de maio de 2022, o CERT-UA emitiu um alerta avisando sobre mais um ataque de phishing visando órgãos estatais ucranianos. O ciberataque foi atribuído à atividade maliciosa de notórios atores de ameaça patrocinados pelo Estado russo identificados como APT28 (também conhecido como Fancy Bear APT) também rastreados como UAC-0028.

Análise do Ciberataque APT28

O último ataque cibernético envolveu falsificação de e-mails com atores de ameaça disfarçando sua mensagem como um aviso de segurança do CERT-UA. Os adversários visavam enganar as vítimas para que abrissem um arquivo RAR protegido por senha anexado ao e-mail que desencadeava uma cadeia de infecção. Ao ser aberto, este último continha um arquivo SFX que, por sua vez, levava à implantação de um software malicioso chamado CredoMap_v2, a versão atualizada de um ladrão de informações. O malware utilizado aplica o protocolo HTTP para exfiltração de dados, o que permite enviar credenciais roubadas para um recurso web implantado na plataforma Pipedream de código aberto.

De acordo com o Serviço Estatal de Comunicações Especiais e Proteção da Informação da Ucrânia (SSSCIP), o grupo de hackeamento APT28/UAC-0028 também foi detectado por trás de uma série de ataques cibernéticos na infraestrutura crítica da Ucrânia em março de 2022.

Em outros ataques cibernéticos pelo grupo de hackers APT28, observou-se que atores de ameaça estavam alvejando entidades governamentais europeias e instituições militares. Eles aplicaram vetores de ataque semelhantes, incluindo e-mails de phishing que descarregavam variantes de malware após habilitar um macro malicioso. Anteriormente, os atacantes também foram detectados em uma campanha de ciberespionagem distribuindo os notórios trojan Zebrocy e malware Cannon via e-mails que usavam o tema em alta relacionado à catástrofe do Lion Air Boeing 737 como isca de phishing.

Para minimizar os riscos de infecção espalhada por software malicioso, o CERT-UA recomenda fortemente manter uma vigilância cuidadosa sobre e-mails com anexos protegidos por senha e aqueles relacionados aos temas mais atuais e noticiáveis que podem servir como iscas de phishing visando comprometer as vítimas ao abrir os arquivos contidos. As organizações devem aplicar políticas de restrição de software que permitam bloquear arquivos EXE através das configurações e medidas de segurança do sistema operacional correspondente.

Regras Sigma para detectar ataque APT28 (UAC-0028) utilizando malware CredoMap_v2

Para garantir a detecção proativa da atividade maliciosa associada ao APT28, incluindo a campanha CredoMap_v2 mais recente, a equipe da SOC Prime desenvolveu um conjunto de regras Sigma dedicadas:

Regras Sigma para detectar a atividade maliciosa do UAC-0028

Inscreva-se na plataforma Detecção como Código da SOC Prime para obter todo o conteúdo relacionado à recente campanha APT28 contra a Ucrânia ou realize uma pesquisa personalizada utilizando a tag #UAC-0028 para descobrir outras detecções relacionadas.

Os engenheiros de detecção também podem facilmente caçar ameaças associadas à atividade maliciosa do UAC-0028 em destaque com um módulo de Caça Rápida dedicado da plataforma.

Contexto MITRE ATT&CK®: Ataque de Phishing APT28

Para um contexto aprofundado por trás do ataque cibernético de phishing mais recente pelo APT28/UAC-0028 visando a Ucrânia, os algoritmos de detecção acima referenciados estão alinhados com o framework MITRE ATT&CK, abordando as táticas e técnicas apropriadas:

 

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda 3 min de leitura Plataforma SOC Prime A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda by Steven Edwards Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko
Todas as notícias