DoNot APT atinge Ministério Europeu com novo malware LoptikMod

São Paulo — InkDesign News — A recente campanha de ataque cibernético do grupo DoNot APT, associando-se a uma série de táticas de spear-phishing, comprometeu um ministério de assuntos estrangeiros europeu, destacando a vulnerabilidade das entidades governamentais diante de ameaças avançadas.

Incidente e vulnerabilidade

O ataque foi realizado por meio de uma sofisticada campanha de spear-phishing, onde os atacantes se fizeram passar por oficiais de defesa da Europa. O e-mail inicial, enviado de uma conta Gmail, abordou atividades diplomáticas – especificamente a “Visita do Adido de Defesa Italiano a Dhaka, Bangladesh” – e incluía detalhes meticulosamente formatados em HTML, com a codificação UTF-8 para a correta exibição de caracteres especiais.

Uma vez que o link malicioso do Google Drive fosse clicado, os alvos baixavam um arquivo malicioso compactado chamado ‘SyClrLtr.rar’, que continha um executável disfarçado de PDF (notflog.exe). O malware, chamado LoptikMod, é conhecido por coletar informações detalhadas do sistema, como o modelo da CPU e detalhes do sistema operacional, enviados a um servidor de comando e controle (C2).

Impacto e resposta

O impacto desse ataque incluiu uma potencial exfiltração de dados sensíveis relacionados a comunicações de estado, documentos de política e relatórios de inteligência. As respostas englobaram a interrupção do fluxo inicial do e-mail malicioso por parte do Trellix, permitindo a análise das táticas e técnicas utilizadas pelo grupo DoNot. As organizações visadas foram alertadas sobre essa violação de segurança, sendo aconselhadas a aumentar suas defesas cibernéticas.

A coleta de informações sensíveis pelos atacantes demonstra a gravidade das vulnerabilidades em instituições governamentais.
(“The collection of sensitive information by attackers demonstrates the severity of vulnerabilities in government institutions.”)

— Pesquisador, Trellix

Mitigações recomendadas

Organizações, especialmente governamentais, devem implementar medidas robustas de segurança, incluindo a análise de tráfego de rede e soluções de detecção e resposta em endpoints (EDR) para mitigar esses tipos de ataques. Recomendam-se também políticas de segurança de e-mail mais rigorosas, englobando práticas como a autenticação multifatorial e a educação de funcionários sobre identificação de e-mails fraudulentos.

A implementação de protocolos de segurança mais robustos é fundamental para prevenir futuras violações.
(“Implementing stronger security protocols is crucial to prevent future breaches.”)

— Especialista em Cibersegurança

A crescente complexidade e sofisticação das ameaças enfrentadas por instituições de segurança pública e diplomática evidenciam a urgência de uma aceleração nas iniciativas de segurança cibernética, contemplando não apenas a proteção preventivista, mas também a resposta rápida a incidentes.

Fonte: (Hack Read – Segurança Cibernética)