A Equipa de Resposta a Emergências Cibernéticas (CERT) da Ucrânia alertou para uma série de ataques informáticos realizados por hackers russos que exploraram uma vulnerabilidade no Office, poucos dias depois de a Microsoft a ter corrigido.
Em 26 de janeiro, a Microsoft lançou uma atualização de segurança identificando a vulnerabilidade, que permitia a um hacker ultrapassar um recurso de segurança local, afetando o Office.
Os ataques consistiram na distribuição de ficheiros maliciosos anexados a e-mails alegadamente enviados pelo Comité de Representantes Permanentes (Coreper) da Ucrânia ou fazendo-se passar pelo Centro Hidrometeorológico da Ucrânia.
Estes e-mails foram enviados para 60 endereços ligados ao governo ucraniano.
Embora os documentos tenham sido enviados três dias após o alerta da Microsoft, a CERT ucraniana afirmou no seu relatório que os metadados associados aos ficheiros mostram que estes foram criados um dia após a atualização de segurança.
A abertura destes documentos maliciosos desencadeia uma série de downloads que instalam malware utilizando uma técnica conhecida como 'COM hijacking', ou sequestro do Modelo de Objetos de Componente do Windows.
A agência ucraniana atribuiu estes ciberataques ao grupo APT28, também conhecido por Fancy Bear e Sofacy, associado à Direção Principal de Inteligência do Estado-Maior das Forças Armadas da Rússia (GRU).
Acusam ainda o grupo de realizar ciberataques contra organizações sediadas na União Europeia.
Entretanto, a Microsoft adicionou uma camada extra de proteção ao Windows Defender, bloqueando ficheiros maliciosos do Office com origem na Internet, a não ser que o utilizador os marque como "fiáveis".
