APT28 Aumenta Ameaças cibernéticas com Exploit do Microsoft Office

Aumento na Ameaça Cibernética

Hackers associados ao estado russo, conhecidos como APT28, não perderam tempo em explorar uma vulnerabilidade crítica no Microsoft Office, que lhes permitiu comprometer dispositivos em organizações diplomáticas, marítimas e de transporte em mais de uma dúzia de países. Pesquisadores afirmam que o grupo, também conhecido como Fancy Bear ou Sofacy, atacou a vulnerabilidade designada como CVE-2026-21509, menos de 48 horas após a Microsoft liberar uma atualização de segurança urgente sem aviso prévio.

Métodos de Ataque

A campanha foi cuidadosamente elaborada para tornar as infecções indetectáveis por sistemas de proteção de ponta. Os exploits e payloads foram projetados para serem criptografados e executados na memória, dificultando a detecção. O vetor inicial de infecção veio de contas governamentais previamente comprometidas de vários países, com os e-mails dos alvos sendo familiarizados pelos atacantes.

“O uso da CVE-2026-21509 demonstra a rapidez com que agentes alinhados a estados podem transformar novas vulnerabilidades em armas”, afirmaram os pesquisadores da empresa de segurança Trellix.

Campanha de Phishing Mirado

A campanha de spear phishing teve início em 28 de janeiro e entregou pelo menos 29 iscas de e-mail distintas a organizações em nove países, com foco principal na Europa Oriental, incluindo Polônia, Turquia, Grécia e outros. Os alvos eram predominantemente ministérios da defesa, operadores de transporte e entidades diplomáticas.

Consequências da Infecção

O encadeamento de infecção resultou na instalação de backdoors conhecidos como BeardShell e NotDoor, fornecendo ao grupo acesso total ao sistema e a capacidade de mover lateralmente para outros sistemas dentro de uma rede infectada. A BeardShell foi executada por meio de assemblies .NET carregados dinamicamente, enquanto a NotDoor veio na forma de um macro VBA que monitorava pastas de e-mail.

Implicações e Responsabilidade

A atribuição da campanha ao grupo APT28 foi feita com “alta confiança” pela Trellix com base em indicadores técnicos e nas escolhas dos alvos. O CERT-UA da Ucrânia também atribuiu os ataques ao grupo, designado como UAC-0001, refletindo a avançada e bem-reservada operação de espionagem cibernética por parte da APT28.

"APT28 tem uma longa história de operações de espionagem cibernética e influência," disseram os pesquisadores. As práticas adotadas nesta campanha mostram um adversário avançado, consistente com o perfil do grupo. A Trellix forneceu uma lista abrangente de indicadores que as organizações podem usar para verificar se foram alvo desses ataques.