Partes do Exército de Libertação Popular estão realizando campanhas cibernéticas contra o Ministério das Relações Exteriores da Rússia e comprometendo vários empreiteiros de defesa russos.

O Grupo de Análise de Ameaças do Google (TAG) forneceu uma atualização sobre a atividade cibernética na Europa Oriental , que segue sua missiva de março .

No geral, a TAG disse que os agentes de ameaças estão usando cada vez mais a invasão russa da Ucrânia como isca de phishing e malware, e têm como alvo infraestruturas críticas, como petróleo e gás, telecomunicações e manufatura.

"Atores apoiados pelo governo da China, Irã, Coreia do Norte e Rússia, bem como vários grupos não atribuídos, usaram vários temas relacionados à guerra da Ucrânia em um esforço para fazer com que os alvos abram e-mails maliciosos ou cliquem em links maliciosos", disse a TAG.

"Atores criminosos e motivados financeiramente também estão usando os eventos atuais como meio de atingir os usuários".

Provando que qualquer alvo é um jogo justo, a TAG detalhou o caso do grupo Curious Gorge, ligado à Força de Apoio Estratégico do Exército de Libertação Popular da China, que tem caçado alvos na Rússia, Ucrânia e Ásia Central.

"Na Rússia, campanhas de longa duração contra várias organizações governamentais continuaram, incluindo o Ministério das Relações Exteriores. Na semana passada, a TAG identificou compromissos adicionais que afetam vários empreiteiros e fabricantes de defesa russos e uma empresa de logística russa", afirmou.

Outro grupo chinês conhecido como Presidente Bronze, Mustang Panda, TA416 ou RedDelta recentemente voltou sua atenção para a Rússia .

“Isso sugere que os agentes de ameaças receberam tarefas atualizadas que refletem as mudanças nos requisitos de coleta de inteligência da República Popular da China (RPC)”, disseram pesquisadores da Secureworks.

Do lado russo, a TAG disse que o grupo Fancy Bear, apoiado pelo Estado, foi atrás de alvos na Ucrânia com malware construído usando .Net para enviar cookies e senhas dos navegadores Chrome, Edge e Firefox para uma conta comprometida.

Enquanto isso, o grupo Turla, alinhado ao FSB, estava realizando campanhas contra entidades de defesa e segurança cibernética de países bálticos usando arquivos docx maliciosos, e Coldriver continuou a usar contas do Gmail comprometidas para atingir funcionários do governo e de defesa, políticos, ONGs, grupos de reflexão e jornalistas com conteúdo malicioso. arquivos destinados a colocá-los em um domínio de phishing.

Para não ficar de fora, o ator bielorrusso Ghostwriter retomou o phishing para ir atrás de contas do Gmail, mas até agora está vazio, disse a TAG. O grupo também realizou uma campanha de phishing no Facebook visando principalmente os lituanos.

"Após a descoberta, todos os sites e domínios identificados foram adicionados ao Safe Browsing para proteger os usuários de mais exploração. Também enviamos a todos os usuários do Gmail e Workspace alertas de invasores apoiados pelo governo, notificando-os sobre a atividade", disse a TAG.

Na semana passada, a Microsoft disse ter visto seis grupos patrocinados pelo Estado russo lançarem 237 ciberataques contra a Ucrânia nas semanas que antecederam a invasão.

Fonte: Zdnet