São Paulo — InkDesign News — Um grupo de ameaças apoiado pela Coreia do Norte, conhecido como TA406, está visando agências governamentais da Ucrânia, utilizando técnicas de phishing e malware para coletar inteligência sobre a posição militar do país em relação à invasão da Rússia.
Vetor de ataque
Recentemente, a TA406 enviou e-mails de phishing que aparentavam ser de um “fellow” fictício de um think tank chamado “Royal Institute of Strategic Studies”. Esses e-mails continham links que baixavam arquivos RAR protegidos por senha, os quais, ao serem abertos, descompactavam um arquivo CHM que executava scripts maliciosos.
Impacto e resposta
Os ataques foram projetados para coletar informações sobre o ambiente de rede das vítimas, utilizando comandos como “ipconfig /all” para identificar detalhes do sistema e “systeminfo” para coletar informações gerais, além de verificar a presença de software antivírus. Os dados coletados eram enviados para um site controlado pelos atacantes.
“As campanhas da TA406 provavelmente vão complementar a coleta de inteligência estratégica para as partes interessadas do regime norte-coreano.
(“TA406’s campaigns are likely to supplement strategic intelligence gathering for North Korean regime stakeholders.”)— Greg Lesnewich, Pesquisador Sênior, Proofpoint
Análise e recomendações
As ações da TA406 representam uma mudança em seu foco, que anteriormente visava entidades nos EUA, Coreia do Sul e Rússia. A recomendação para as agências atinge a necessidade de ampliar as medidas de cibersegurança, incluindo treinos regulares sobre phishing e validação de e-mails recebidos, especialmente em setores críticos.
Com a Coreia do Norte possivelmente enviando tropas para apoiar a Rússia, a coleta de informações pela TA406 pode se intensificar. Medidas de defesa robustas e conscientização contínua são essenciais para mitigar esse novo vetor de ataque, especialmente com a evolução constante das táticas de grupos cibernéticos.
Fonte: (Dark Reading – Segurança Cibernética)
