Ataque cibernético do grupo APT28 usando o programa malicioso CredoMap_v2 (CERT-UA # 4622)

Por

6 de maio de 2022 16:42

informações gerais

A equipe do governo para responder a emergências informáticas na Ucrânia CERT-UA recebeu um e-mail do participante da troca de informações com o tópico “Cyberattack”, supostamente enviado em nome do CERT-UA com um anexo na forma de senha- arquivo RAR protegido “UkrScanner.rar”.

Fica estabelecido que o referido arquivo contém o arquivo SFX de mesmo nome, que, por sua vez, contém o programa malicioso CredoMap_v2. A diferença entre esta versão do modelador e a anterior é que ela usa o protocolo HTTP para filtrar os dados. Com a ajuda de solicitações HTTP POST, os dados de autenticação roubados são enviados para um recurso da Web implantado na plataforma Pipedream.

A atividade está associada às atividades do grupo APT28 (UAC-0028).

O CERT-UA tomou medidas para bloquear o recurso. No entanto, no caso de receber tais cartas, informe imediatamente.

Indicadores de compromisso

Arquivos:

87b05a2442146a517e6aa1da5db8ae27 8724ec45a26dd07023e755cbf2a3c02548f719a63d0ffbfc42954f2b4f7c1405 UkrScanner.rar
721521273d12775eb6518c0eeaeeac8b d1839e491b34764fbd9f51895b639a97bc7d5a1ef8f57ba87545f8b3b9bc7e7a UkrScanner.exe (SFX)
d3b3aa56f1056df4c32cd2bc477e513b 778eed2fb4bbce4755cdf923f3fddc16155a478b44f90dc613ed2811a8efe066 scan.exe (CredoMap_v2)
56a504a34d2cfbfc7eaa2b68e34af8ad 9309fb2a3f326d0f2cc3f2ab837cfd02e4f8cb6b923b3b2be265591fd38f4961 SQLite.Interop.dll (DLL legítimo)

Rede:

mariachandran@ginaengg[.]com
69[.]16.243.33 (Received)
hxxps://eo2mxtqmeqzafqi.m.pipedream[.]net
eo2mxtqmeqzafqi.m.pipedream[.]net

Recomendações

1. Para espalhar programas maliciosos, links, etc., os invasores usam tópicos atuais e endereços de e-mail comprometidos de funcionários de órgãos estatais da Ucrânia. Enfatizamos a necessidade de estarmos atentos (a presença de uma senha para o anexo na carta – um exemplo de um dos sinais de uma ameaça potencial).

2. O CERT-UA utiliza a plataforma MISP e e-mail com o uso de assinaturas digitais eletrônicas para troca de informações sobre ameaças cibernéticas.

3. O lançamento de ficheiros executáveis de terceiros deve ser bloqueado ao nível dos mecanismos do sistema operativo e/ou funcionalidades de segurança.

Imagens gráficas

ALERTA CERT-UA

Com informações do The Press Office SSSCIP Ucrânia

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

Compartilhe isso:

Descubra mais sobre DCiber

ARTIGOS RELACIONADOSMais do autor

Evite golpes no Dia das Mães: saiba como se proteger contra fraudes em compras online

Zero Trust Architecture: Uma 1ª visão de hardening

Especialistas apontam que infraestrutura crítica também pode ser alvo de ataques cibernéticos no Brasil

Siga-nos no instagram @dciber_org

ARTIGOS RELACIONADOS Mais do autor