Um grupo de ameaça persistente avançada (APT) está utilizando um gusano web para comprometer governos da União Europeia, dependendo de ferramentas como Discord e Microsoft Graphs para comunicação e controle. O grupo também recorreu a proxies SOCKS como o SoftEther VPN, ferramentas de tunelamento que atuam como intermediárias entre a vítima e o atacante.
Descoberta e escopo
A campanha de espionagem identificada envolve o uso de infraestrutura de comando e controle (C2) que se mistura com tráfego legítimo. O uso de plataformas populares como Discord e APIs do Microsoft Graph permite que os atacantes evitem detecções baseadas em assinatura, aproveitando-se da confiança que as organizações têm nessas ferramentas.
O gusano web foi projetado para explorar vulnerabilidades em sistemas web expostos, permitindo a execução remota de código e a coleta de dados sensíveis. A infraestrutura de ataque é distribuída geograficamente para dificultar o rastreamento e a atribuição.
Vetor e exploração
Os atacantes utilizam técnicas de living-off-the-land, aproveitando ferramentas legítimas do sistema para minimizar a assinatura de malware. O uso de Microsoft Graphs permite a interação com serviços em nuvem, facilitando o acesso a dados corporativos e governamentais armazenados em ambientes híbridos.
A comunicação via Discord é criptografada e passa por gateways que mascaram o tráfego como mensagens de chat comuns. Isso torna a detecção por sistemas de monitoramento de rede tradicionalmente mais desafiadora.
Impacto e alcance
O alvo principal são governos da União Europeia, com foco em ministérios e agências reguladoras. O impacto potencial inclui o roubo de dados diplomáticos, planejamento estratégico e informações de infraestrutura crítica.
A natureza do ataque sugere uma operação de longo prazo, com o objetivo de manter acesso persistente e coletar inteligência de forma contínua. A utilização de proxies SOCKS como SoftEther VPN adiciona uma camada de anonimato, dificultando a identificação da origem real dos ataques.
Medidas de mitigação recomendadas
Organizações devem revisar as políticas de uso de ferramentas de comunicação não autorizadas e implementar controles de acesso baseados em identidade. O monitoramento de tráfego de rede para padrões incomuns de uso do Microsoft Graph é essencial.
Recomenda-se também a segmentação de rede para limitar o acesso a sistemas críticos e a implementação de soluções de detecção de ameaças que utilizem inteligência de ameaças atualizada sobre TTPs (Táticas, Técnicas e Procedimentos) deste grupo.
O que os CISOs devem fazer imediatamente
Equipes de segurança devem revisar os logs de acesso ao Microsoft Graph e identificar atividades anômalas. A implementação de autenticação multifator (MFA) forte e a revisão de permissões de API são passos críticos para reduzir a superfície de ataque.