Hack Alerta

APT28 finge portais de webmail e VPN e mira energia e defesa

Por Redação Hack Alerta Publicado em 12/01/2026 10:02 Cyber ataques Tempo de leitura: 3 min

Relatório aponta que APT28 está usando páginas falsas que imitam Microsoft OWA, Google e Sophos VPN para comprometer entidades de pesquisa em energia e colaborações de defesa. Recomenda‑se MFA e monitoração de credenciais.

Resumo

Relatório da SecurityWeek descreve operações da APT28 (grupo ligado à Rússia) que têm visado entidades de pesquisa em energia e parcerias de defesa, usando sites falsos que imitam portais de webmail e VPN (Microsoft OWA, Google e Sophos VPN) para colher credenciais e ganhar acesso inicial.

O que foi observado

A investigação relatada aponta que o grupo montou páginas de engodo que replicam interfaces de serviços populares — inclusive painéis OWA e portais VPN — para induzir vítimas a entregar credenciais. A escolha de alvos foca institutos de pesquisa em energia e entidades que colaboram com setores de defesa.

Vetor e consequências

  • Imitação de portais de autenticação (webmail/VPN) é empregada para coleta de credenciais e estabelecimento de acesso.
  • Credenciais válidas permitem movimentos laterais, acesso a pesquisas sensíveis e possível exfiltração de propriedade intelectual.

Evidências publicadas

O texto da SecurityWeek informa especificamente a utilização de portais falsos: Microsoft OWA, Google e Sophos VPN portals. Não há na matéria divulgação de samples detalhados ou indicadores extensivos para hunting — as observações são descritivas e indicam tática conhecida de APT28.

Limites do relatório

Os detalhes técnicos públicos na matéria são sucintos: não foram publicados nesta fonte evidências de exploit zero‑day, nem uma lista de domínios ou IOCs completa. Também não há confirmação pública de campanhas massivas para além dos alvos setoriais citados.

Recomendações táticas para defensores

  • Fortalecer autenticação: exigir MFA forte para acesso por webmail e VPN; desconsiderar credenciais só por formulário.
  • Higiene de credenciais: forçar rotação de contas de serviço e credenciais de colaboração usadas em pesquisa e parcerias críticas.
  • Monitoração de logins: configurar alertas para tentativas de login anômalas, novas origens geográficas e uso de credenciais em múltiplos recursos em curto período.
  • Treinamento focalizado: campanhas de awareness com equipes de pesquisa e P&D sobre páginas de engodo e prevenção de engenharia social.
  • Revisão de acesso: revisar privilégios de contas com acesso a dados sensíveis e aplicar princípio do menor privilégio.

Implicações estratégicas

Alvos no ecossistema de energia e na colaboração em defesa têm implicações de segurança nacional e econômica. A imitação de portais legítimos é uma técnica madura e eficaz contra organizações que ainda dependem de autenticação apenas por senha. A divulgação serve como alerta para priorizar autenticação multifator, monitoramento de identidade e postura de Zero Trust em projetos sensíveis.

Fonte: SecurityWeek (Ionut Arghire). A matéria descreve observações da APT28 e técnicas de engodo por falsificação de portais web.
Baseado em publicação original de SecurityWeek
Tags: #apt28 #russia #phishing #vpn #owa #energia #defesa #credenciais #engenharia-social
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar