Campanha de roubo de credenciais da APT28 mira usuários do UKR.net

BR Defense Center (By River de Morais e Silva)
phishing

O grupo de ameaças patrocinado pelo Estado russo, conhecido como APT28, está conduzindo uma campanha de roubo de credenciais direcionada a usuários do serviço de webmail e notícias UKR.net, popular na Ucrânia. Observada entre junho de 2024 e abril de 2025 pela Recorded Future, essa atividade se baseia em ataques anteriores que utilizavam malware e páginas de phishing. APT28, também conhecido como Fancy Bear, é associado ao GRU, a principal agência de inteligência militar da Rússia.

Os ataques mais recentes utilizam páginas de login temáticas do UKR.net em serviços legítimos, como Mocky, para enganar os usuários a inserirem suas credenciais e códigos de autenticação de dois fatores (2FA). Links para essas páginas estão embutidos em documentos PDF enviados por e-mails de phishing, frequentemente encurtados por serviços como tiny.cc. Além disso, o grupo tem utilizado subdomínios de plataformas como Blogger para criar cadeias de redirecionamento que levam às páginas de roubo de credenciais.

Essas operações de phishing são parte de uma estratégia mais ampla que visa coletar informações sensíveis de usuários ucranianos, refletindo o interesse contínuo do GRU em comprometer credenciais para apoiar suas operações de inteligência durante a guerra em curso na Ucrânia.

Fonte: https://thehackernews.com/2025/12/apt28-targets-ukrainian-ukr-net-users.html

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
17/12/2025 • Risco: ALTO
PHISHING

Campanha de roubo de credenciais da APT28 mira usuários do UKR.net

RESUMO EXECUTIVO
O APT28 continua a ser uma ameaça significativa, utilizando técnicas de phishing para comprometer credenciais de usuários. As operações de roubo de dados podem ter consequências graves para a segurança cibernética e a conformidade legal, especialmente em um contexto de crescente vigilância e espionagem em ambientes digitais.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras e danos à reputação devido ao roubo de dados.
Operacional
Roubo de credenciais e informações sensíveis de usuários.
Setores vulneráveis
['Governo', 'Defesa', 'Logística', 'Pense-tanks']

📊 INDICADORES CHAVE

Campanha observada por 10 meses. Indicador
Uso de serviços de encurtamento de URL como tiny.cc. Contexto BR
Histórico de operações de phishing desde meados dos anos 2000. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar logs de acesso e atividades suspeitas em contas de e-mail.
2 Implementar autenticação multifator (MFA) e treinar usuários sobre como identificar e-mails de phishing.
3 Monitorar continuamente tentativas de acesso não autorizadas e atividades anômalas.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a persistência de grupos de ameaças como APT28, que visam roubar credenciais e informações sensíveis, o que pode impactar a segurança de dados e a conformidade com regulamentos como a LGPD.

⚖️ COMPLIANCE

Implicações legais relacionadas à LGPD e proteção de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).