A Microsoft anunciou recentemente que um grupo de hackers de segurança cibernética conhecido como Gamaredon está criando uma série de e-mails de spear-phishing.
Mas, no evento recente, foi detectado que os operadores do grupo de hackers ACTINIUM têm como alvo os seguintes setores ucranianos para roubar dados confidenciais:-
- Governo
- Militares
- ONG
- Judiciário
- Aplicação da lei
Este grupo de ameaças tem como alvo contínuo entidades ucranianas e todas as outras organizações associadas à Ucrânia. E o grupo de hackers tem iniciado tais ataques desde outubro de 2021.
Não só isso, depois de um bom investigaçãoo Centro de Inteligência de Ameaças da Microsoft também observou que este grupo atacante foi rastreado como Armageddon e ACTINIUM.
Binários implantados
No entanto, os especialistas em segurança cibernética usaram diferentes maneiras de rastrear o ataque durante uma investigação.
Para rastrear esses ataques, os operadores incorporaram uma Web semelhante a um pixel de rastreamento que enquadrava quais binários foram implantados neste ataque; é por isso que mencionamos os binários abaixo: –
- PowerPunch
- Pterodo
- Peneira Tranquila
Preparadores e downloaders
Além disso, para apoiar o teste de carga útil e sua infraestrutura C2, a Microsoft identificou mais de 25 domínios exclusivos e mais de 80 endereços IP exclusivos que são usados pelos operadores do grupo de hackers ACTINIUM.
Neste ataque à segurança cibernética, os pesquisadores de segurança detectaram seis stagers e downloaders que mencionamos abaixo: –
- Dino Trem
- DilongTrash
- Obfuberry
- PowerPunch
- Sobremesa para baixo
- Obfumerry
Em janeiro, a SSU bloqueou 120 ataques cibernéticos
Além da Microsoft, a Unidade 42 da Palo Alto Networks também detectou esse problema de grupo de ataque. No entanto, os especialistas de Palo afirmaram ter notado os actores da ameaça a tentar negociar uma entidade governamental ocidental na Ucrânia, e tudo isto foi vislumbrado em 19 de Janeiro de 2022.
Tudo isso foi desencadeado pelos agentes da ameaça por meio de um ataque de spear-phishing, no qual eles enviaram um downloader de malware.
No entanto, neste caso, os agentes da ameaça não estão a enviar e-mails ao descarregador, mas sim os agentes da ameaça que aproveitam o rastreio de empregos e os serviços de emprego na Ucrânia.
Além disso, os analistas de segurança cibernética do Threat Hunter da Symantec A equipe também notou o grupo de ameaças Gamaredon, que está distribuindo documentos Word com macros nos ataques de spearphishing.
Além disso, existem alguns alertas de segurança que certamente ajudarão os usuários a identificar tais ataques, e aqui estão eles mencionados abaixo:-
- Execução de script suspeita.
- Biblioteca de link dinâmico suspeita carregada.
- Atividade suspeita de captura de tela.
- Preparação de dados confidenciais.
- Um processo anômalo está executando o comando codificado.
Esse tipo de alerta de ameaça pode ser acionado por atividades de ameaça não relacionadas e é por isso que é muito necessário permanecer alerta.
Não apenas isso, mas o Microsoft Threat Intelligence Center também afirmou: –
“Os atores da ameaça têm como alvo militares, organizações não governamentais (ONGs), judiciário, autoridades policiais e organizações sem fins lucrativos.”
O principal motivo dos atores da ameaça é exfiltrar todas as informações confidenciais para manter o acesso, para que possam sequestrar o sistema e usá-lo de acordo com seus requisitos.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.
