Hackers russos têm como alvo a pesquisa de vacinas COVID-19 com malware personalizado

Um comunicado de segurança do NCSC informa que Hackers russos têm como alvo a pesquisa de vacinas COVID-19 com malware personalizado.

Hackers que provavelmente trabalham para os serviços de inteligência russos estão atacando organizações envolvidas na pesquisa e desenvolvimento de uma vacina contra o novo coronavírus.

Hackers russos têm como alvo a pesquisa de vacinas COVID-19 com malware personalizado

Hackers russos têm como alvo a pesquisa de vacinas COVID-19 com malware personalizado

A atividade está em andamento, atribuída ao grupo de ameaças APT29, também rastreado como Cozy Bear, The Dukes e Yttrium. Os alvos estão nos setores de governo, saúde, diplomático, think tank e energia.

Um comunicado de segurança cibernética publicado pelo National Cyber ​​Security Centre (NCSC, Centro Nacional de Segurança Cibernética) no Reino Unido, detalha que o adversário vem executando esses ataques ao longo de 2020 contra entidades no Canadá, Reino Unido e EUA.

“Ao longo de 2020, o APT29 visou várias organizações envolvidas no desenvolvimento de vacinas COVID-19 no Canadá, Estados Unidos e Reino Unido, provavelmente com a intenção de roubar informações e propriedade intelectual relacionadas ao desenvolvimento e teste de vacinas COVID-19”

O relatório inclui informações de várias fontes, sendo um esforço conjunto do NCSC, do Communications Security Establishment (CSE) do Canadá, da Agência Nacional de Segurança dos EUA (NSA) e da CISA (Cybersecurity and Infrastructure Security Agency).

O comunicado revela que a Cozy Bear inicia seus ataques com spear phishing, mas também explora vulnerabilidades graves conhecidas nos produtos Citrix (CVE-2019-19781), Pulse Secure (CVE-2019-11510) e Fortigate (CVE-2019-13379) e Software Collaboration Suite do Zimbra (CVE-2019-9670). Existem patches para todas essas falhas.

Depois de obter acesso à rede, a Cozy Bear usa um downloader de primeiro estágio conhecido como SoreFang e malware personalizado “WellMess” e “WellMail”.

O WellMess é escrito em Golang para executar comandos shell arbitrários no Windows e Linux. Foi divulgado publicamente pela primeira vez pelo CERT do Japão no início de julho de 2018 e cinco meses depois pela empresa japonesa de segurança cibernética LAC.

O WellMail recebeu esse nome do NCSC e também está escrito em Golang. Seu objetivo é executar comandos ou scripts e os resultados são entregues a um servidor de comando e controle codificado.

“As amostras WellMess e WellMail continham certificados TLS com o subjectKeyIdentifier (SKI) ‘0102030406’ codificado e usavam os assuntos ‘C = Tunis, O = IT’ e ‘O = GMO GlobalSign, Inc’, respectivamente. Esses certificados podem ser usados ​​para identificar mais amostras e infraestrutura de malware. Os servidores com este certificado GlobalSign podem ser usados ​​para outras funções, além das comunicações de malware do WellMail.”

O comunicado completo (PDF) inclui regras e indicadores de comprometimento (COI) que as organizações podem usar para detectar atividades maliciosas do APT29.

O que está sendo falado no blog

Artigos relacionados

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Sair da versão mobile