Um comunicado de segurança do NCSC informa que Hackers russos têm como alvo a pesquisa de vacinas COVID-19 com malware personalizado.
Hackers que provavelmente trabalham para os serviços de inteligência russos estão atacando organizações envolvidas na pesquisa e desenvolvimento de uma vacina contra o novo coronavírus.
Hackers russos têm como alvo a pesquisa de vacinas COVID-19 com malware personalizado
A atividade está em andamento, atribuída ao grupo de ameaças APT29, também rastreado como Cozy Bear, The Dukes e Yttrium. Os alvos estão nos setores de governo, saúde, diplomático, think tank e energia.
Um comunicado de segurança cibernética publicado pelo National Cyber Security Centre (NCSC, Centro Nacional de Segurança Cibernética) no Reino Unido, detalha que o adversário vem executando esses ataques ao longo de 2020 contra entidades no Canadá, Reino Unido e EUA.
“Ao longo de 2020, o APT29 visou várias organizações envolvidas no desenvolvimento de vacinas COVID-19 no Canadá, Estados Unidos e Reino Unido, provavelmente com a intenção de roubar informações e propriedade intelectual relacionadas ao desenvolvimento e teste de vacinas COVID-19”
O relatório inclui informações de várias fontes, sendo um esforço conjunto do NCSC, do Communications Security Establishment (CSE) do Canadá, da Agência Nacional de Segurança dos EUA (NSA) e da CISA (Cybersecurity and Infrastructure Security Agency).
O comunicado revela que a Cozy Bear inicia seus ataques com spear phishing, mas também explora vulnerabilidades graves conhecidas nos produtos Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510) e Fortigate (CVE-2019-13379) e Software Collaboration Suite do Zimbra (CVE-2019-9670). Existem patches para todas essas falhas.
Depois de obter acesso à rede, a Cozy Bear usa um downloader de primeiro estágio conhecido como SoreFang e malware personalizado “WellMess” e “WellMail”.
O WellMess é escrito em Golang para executar comandos shell arbitrários no Windows e Linux. Foi divulgado publicamente pela primeira vez pelo CERT do Japão no início de julho de 2018 e cinco meses depois pela empresa japonesa de segurança cibernética LAC.
O WellMail recebeu esse nome do NCSC e também está escrito em Golang. Seu objetivo é executar comandos ou scripts e os resultados são entregues a um servidor de comando e controle codificado.
“As amostras WellMess e WellMail continham certificados TLS com o subjectKeyIdentifier (SKI) ‘0102030406’ codificado e usavam os assuntos ‘C = Tunis, O = IT’ e ‘O = GMO GlobalSign, Inc’, respectivamente. Esses certificados podem ser usados para identificar mais amostras e infraestrutura de malware. Os servidores com este certificado GlobalSign podem ser usados para outras funções, além das comunicações de malware do WellMail.”
O comunicado completo (PDF) inclui regras e indicadores de comprometimento (COI) que as organizações podem usar para detectar atividades maliciosas do APT29.
- Como instalar o driver para o controle do Xbox no Ubuntu
- Como instalar o NeoGeo Pocket Emulator no Linux via Snap
- Como instalar o jogo Space Station 14 no Linux via Flatpak
- Como habilitar o repositório Games no openSUSE