No último ano, hackers russos patrocinados pelo governo mudaram suas técnicas, usando mais em contas de e-mail corporativas comprometidas para enviar e-mails de phishing
O grupo de hackers russo conhecido como Pawn Storm (ou APT28) passou o último ano pesquisando servidores de e-mail vulneráveis, servidores de descoberta automática do Exchange, da Microsoft, servidores SQL Server e serviços de diretório para desferir ataques de phishing, de acordo com novo relatório da Trend Micro.
O grupo, também conhecido como Fancy Bear, Sednit, Sofacy e Strontium, foi responsável por algumas das campanhas de espionagem cibernética mais explosivas dos últimos anos, roubando informações confidenciais do Comitê Nacional Democrata (DNC) do Partido Democrata dos EUA, que Hillary Clinton alegou ter ajudado Donald Trump a se eleger presidente.
Apoiado pelo Kremlin, o grupo também invadiu a Agência Mundial Antidopagem (WADA) várias vezes depois que veio à tona o escândalo de doping na Federação Russa ocorreu em 9 de novembro de 2015. Empresas de segurança e agências de inteligência acreditam que o Pawn Storm faz parte da divisão de inteligência militar da Rússia, a General Staff Main Intelligence Directorate (GRU).
O grupo geralmente usa spear-phishing e malware para se infiltrar nas organizações-alvo. No entanto, a Trend Micro afirma que gastou muito tempo com scanning da porta de verificação 443 de 2019 para servidores de e-mail expostos e servidores de descoberta automática do Microsoft Exchange em todo o mundo.
Depois de encontrar sistemas vulneráveis, o grupo procura credenciais fortes, filtrar dados de e-mail e para enviar mais campanhas de spam, de acordo com o relatório.
No lado receptor, o APT28 tradicional tem como alvo órgãos militares e de defesa, governos, escritórios de advocacia, partidos políticos e universidades, mas também outras mais incomuns, como escolas particulares na França e no Reino Unido e até um jardim de infância na Alemanha.
O grupo também examinou as portas TCP 445 e 1433 para encontrar servidores globais vulneráveis executando o Microsoft SQL Server e os serviços de diretório, revelou a Trend Micro.
Outra tática implantada no ano passado foi usar as contas de e-mail anteriormente comprometidas de destinos de alto perfil para enviar e-mails de phishing para seus contatos. As empresas de defesa no Oriente Médio foram os principais alvos.
Não está claro por que o grupo mudou de tática dessa maneira. A Trend Micro sugere que pode ser uma tentativa de burlar os filtros de spam. No entanto, a empresa de segurança disse que essas táticas falharam em resultar em significativamente mais entregas na caixa de entrada.
No último ano, hackers russos patrocinados pelo governo mudaram suas técnicas, usando mais em contas de e-mail corporativas comprometidas para enviar e-mails de phishing e spam direcionados, de acordo com a Trend Micro.
Agora, hackers russos estão examinando a internet em busca de servidores de e-mail vulneráveis, servidores de descoberta automática do Exchange e, em seguida, usando as contas de e-mail comprometidas encontradas para ajudar nos ataques de phishing, diz o relatório.
