Los actores rusos cibernéticos han sido atribuidos a campañas patrocinadas por el estado dirigidas a entidades de logística occidental y compañías de tecnología desde 2022.
Esta actividad se califica como coordinada por APT28 (también conocida como BlueDelta, oso elegante o tormenta de nieve del bosque). Esto está vinculado a la Oficina de Inteligencia Principal del Estado Mayor Ruso (GRU) 85º Centro de Servicio Especial Principal, Unidad Militar 26165.
Los objetivos para la campaña incluyen compañías involucradas en la coordinación, transporte y entrega de ayuda extranjera a Ucrania, según una consulta conjunta publicada por Australia, Canadá, República Checa, Dinamarca, Estonia, Francia, Alemania, Países Bajos, Polonia, el Reino Unido y los Estados Unidos.
«Esta campaña orientada a ciberespy dirigida a las entidades de logística y las empresas de tecnología utiliza una combinación revelada previamente de TTP y probablemente está vinculada a la orientación a gran escala de estos actores adyacentes a los países de Ucrania y la OTAN», dijo el boletín.
La vigilancia se produce semanas después de que el Ministerio de Asuntos Exteriores de Francia acusó a APT28 de aumentar los ataques cibernéticos en 12 entidades, incluidos ministerios, compañías de defensa, institutos de investigación y think tanks, en un intento de desestabilizar el país desde 2021.
Luego, la semana pasada, ESET eliminó lo que llamó una campaña que dijo que ha estado en progreso desde 2023 al aprovechar las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) en varios servicios de correo web, como Round Cube, Hold, Mdemon y Zimbra.
Según el último aviso, los ataques cibernéticos organizados por APT28 incluyen una combinación de spray de contraseña, phishing de lanza y permisos de buzón de Microsoft Exchange para fines de espionaje.
Los objetivos principales de la campaña incluyen organizaciones dentro de los Estados miembros de la OTAN y Ucrania, así como que abarca verticalmente la defensa, el transporte, el marítimo, la gestión del tráfico aéreo y los servicios de TI. Se estima que muchas entidades de Bulgaria, la República Checa, Francia, Alemania, Grecia, Italia, Moldavia, Países Bajos, Polonia, Rumania, Eslovaquia, Ucrania y Estados Unidos han sido atacados.
«Esta campaña maliciosa de la Agencia de Inteligencia Militar Rusia plantea graves riesgos para dirigir a las organizaciones, incluidas las involucradas en brindar apoyo a Ucrania», dijo Paul Chichester, director de operaciones del Centro Nacional de Ciberseguridad (NCSC). «El Reino Unido y sus socios están comprometidos a crear conciencia sobre las tácticas que se implementan».
Se dice que el acceso inicial a la red de destino fue promovido utilizando siete métodos diferentes –
Brute Force Attack proporciona un ataque de phishing de lanza de compromiso de dispositivo SOHO para inferir credenciales y proporcionar la explotación de malware de la vulnerabilidad de Outlook NTLM (CVE-2023-23397) utilizando páginas de inicio de sesión falsas que se hacen pasar por un proveedor de correo de nube occidental alojado en un dispositivo alojado en un servicio de terceros libres o un dispositivo SOHO comprometido. (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026) Explotando la infraestructura de Internet, como las VPN corporativas, como las vulnerabilidades públicas de las vulnerabilidades de Winrar y el uso de la inyección SQL (CVE-2023-33831)
Si un actor en la Unidad 26165 adquiere andamios utilizando cualquiera de los métodos anteriores, el ataque procede a la etapa posterior a la explosión. Esto implica el reconocimiento para identificar a las personas responsables de coordinar el transporte, así como otras compañías que trabajan con las entidades víctimas.
También se ha observado que los atacantes eliminan la información del Active Directory utilizando herramientas para movimientos laterales como Impacket, PSEXEC y Protocolo de escritorio remoto (RDP), así como Actipy y Adexplorer.exe.
«Los actores tomarán medidas para encontrar y eliminar la lista de usuarios de Office 365 y configurar una colección de correo electrónico sostenida», señaló la agencia. «Los actores utilizaron la operación de permisos de buzón para establecer una colección de correo electrónico persistente con entidades logísticas comprometidas».
Otra característica notable de la intrusión es el uso de familias de malware como Headlace y Macipie para establecer la persistencia de hosts comprometidos e información confidencial de cosecha. No hay evidencia de que las variaciones de malware como OceanMap y Steelhooks se usen para apuntar directamente a la logística o al sector de TI.
Durante la eliminación de datos, los actores de amenaza confían en una variedad de métodos basados en el entorno de las víctimas, a menudo utilizando comandos de PowerShell para crear archivos postales para cargar los datos recopilados a su propia infraestructura, o emplear servicios web de Exchange (EWS) y Protocolo de acceso a mensajes de Internet (IMAP) para la información de sifones de los servidores por correo electrónico.
«Como los militares rusos no lograron cumplir con sus objetivos militares y los países occidentales brindaron asistencia para apoyar a la defensa territorial de Ucrania, la Unidad 26165 amplió la orientación de entidades logísticas y compañías de tecnología involucradas en la prestación de asistencia», dijo la agencia. «Estos actores se dirigen a cámaras conectadas a Internet en los cruces fronterizos de Ucrania para monitorear y rastrear los envíos de ayuda».
Source link
