Se ha observado que actores de amenazas alineados con Rusia atacan a instituciones financieras en Europa como parte de ataques de ingeniería social que probablemente faciliten la recopilación de inteligencia y el robo financiero, lo que sugiere que los ataques de los actores de amenazas pueden expandirse más allá de Ucrania a organizaciones que apoyan a la nación devastada por la guerra.
Esta actividad estuvo dirigida a organizaciones anónimas involucradas en esfuerzos de reconstrucción y desarrollo regional y se cree que es obra de un grupo de delitos cibernéticos rastreado como UAC-0050 (también conocido como Grupo DaVinci). BlueVoyant ha denominado al grupo de amenazas Mercenary Akula. Este ataque se observó a principios de este mes.
«El ataque falsificó un dominio judicial ucraniano y entregó un correo electrónico que contenía un enlace a una carga útil de acceso remoto», dijeron los investigadores Patrick McHale y Joshua Green en un informe compartido con Hacker News. «El objetivo era un asesor jurídico y político senior involucrado en adquisiciones, un puesto con conocimiento privilegiado de las operaciones y los mecanismos financieros de la agencia».
El punto de partida es un correo electrónico de phishing que utiliza un tema legítimo e indica al destinatario que descargue un archivo alojado en PixelDrain. PixelDrain es un servicio para compartir archivos utilizado por actores de amenazas para eludir los controles de seguridad basados en la reputación.
ZIP es responsable de iniciar una cadena de infección de varias capas. Dentro del archivo ZIP hay un archivo RAR que contiene un archivo 7-Zip protegido con contraseña. Este archivo contiene un ejecutable que utiliza el ampliamente explotado truco de doble extensión (*.pdf.exe) para disfrazarse de documento PDF.
Cuando se ejecuta, implementa un instalador MSI para Remote Manipulator System (RMS), un software de escritorio remoto ruso que permite el control remoto, el uso compartido de escritorio y la transferencia de archivos.
«El uso de estas herramientas ‘extraterrestres’ permite a los atacantes obtener acceso persistente y sigiloso, mientras a menudo evaden la detección antivirus tradicional», señalan los investigadores.
El uso de RMS es consistente con el modus operandi UAC-0050 anterior, donde se sabe que el atacante utiliza software legítimo de acceso remoto como LiteManager y troyanos de acceso remoto como RemcosRAT en ataques dirigidos a Ucrania.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) caracteriza a UAC-0050 como un grupo mercenario asociado con agencias policiales rusas que lleva a cabo operaciones de recopilación de datos, robo financiero, inteligencia y psicológicas bajo la marca Fire Cells.
«Este ataque refleja el perfil de ataque establecido y repetitivo de Mercenary Akula, al mismo tiempo que genera desarrollos notables», dijo BlueVoyant. «En primer lugar, sus objetivos se centraban principalmente en organizaciones con sede en Ucrania, en particular contables y personal financiero. Sin embargo, este caso deja entrever posibles investigaciones sobre agencias de apoyo a Ucrania de Europa occidental».
Las revelaciones se producen cuando Ucrania revela que los ciberataques rusos dirigidos a la infraestructura energética del país se centran cada vez más en recopilar inteligencia para guiar los ataques con misiles, en lugar de interrumpir inmediatamente las operaciones, informó The Record.
La firma de ciberseguridad CrowdStrike dijo en su Informe anual sobre amenazas globales que espera que los adversarios alineados con Rusia continúen con operaciones ofensivas destinadas a recopilar inteligencia de objetivos en Ucrania y los aliados de la OTAN.
Esto incluye los esfuerzos de APT29 (también conocido como Cozy Bear y Midnight Blizzard) para abusar «sistemáticamente» de la confianza, la credibilidad organizacional y la legitimidad de la plataforma para obtener acceso no autorizado a las cuentas de Microsoft de las víctimas como parte de una campaña de phishing dirigida a organizaciones no gubernamentales (ONG) y corporaciones con sede en Estados Unidos.
«Cozy Bear pudo comprometer y hacerse pasar por personas con quienes los usuarios objetivo mantenían una relación profesional de confianza», dijo CrowdStrike. «Las personas que se hacían pasar por personas incluían empleados de sucursales de ONG internacionales y organizaciones proucranianas».
«Los atacantes han invertido mucho en demostrar estas suplantaciones utilizando las cuentas de correo electrónico legítimas de las personas comprometidas, junto con canales de comunicación desechables para mejorar la credibilidad».
Source link
