La inteligencia rusa apunta a víctimas de ciberataques rápidos en todo el mundo

Los piratas informáticos estatales rusos están llevando a cabo campañas de phishing selectivas en al menos nueve países repartidos en cuatro continentes. Sus correos electrónicos promocionan asuntos oficiales del gobierno y, si tienen éxito, amenazan no sólo datos confidenciales de la organización, sino también inteligencia geopolítica de importancia estratégica.

Una trama tan sofisticada y polifacética sólo podría ser elaborada por un grupo tan prolífico como Oso de lujo (también conocido como APT28, Forest Blizzard, Frozenlake, Sofacy Group, Strontium, UAC-028 y muchos más alias), que IBM X-Force rastrea como ITG05 en un nuevo informe.

Además de los convincentes señuelos con temas gubernamentales y tres nuevas variantes de puertas traseras personalizadas, la campaña se destaca más por la información a la que apunta: Fancy Bear parece estar apuntando a información muy específica de utilidad para el gobierno ruso.

Señuelos de phishing gubernamentales

Fancy Bear ha utilizado al menos 11 señuelos únicos en campañas dirigidas a organizaciones en Argentina, Ucrania, Georgia, Bielorrusia, Kazajstán, Polonia, Armenia, Azerbaiyán y Estados Unidos.

Los señuelos parecen documentos oficiales asociados con gobiernos internacionales, que cubren temas tan amplios como finanzas, infraestructura crítica, compromisos ejecutivos, ciberseguridad, seguridad marítima, atención médica y producción industrial de defensa.

Algunos de estos son documentos legítimos y de acceso público. Otros, curiosamente, parecen ser internos de agencias gubernamentales específicas, lo que plantea la cuestión de cómo Fancy Bear llegó a tenerlos en sus manos en primer lugar.

"X-Force no tiene idea de si ITG05 ha comprometido con éxito a las organizaciones suplantadas", señala Claire Zaboeva, cazadora de amenazas de IBM X-Force. "Como es posible que ITG05 aprovechó el acceso no autorizado para recopilar documentos internos, hemos notificado a todas las partes imitadas sobre la actividad antes de su publicación como parte de nuestra Política de divulgación responsable".

Alternativamente, es posible que Fancy Bear/ITGO5 simplemente haya imitado archivos reales. "Por ejemplo, algunos de los documentos descubiertos presentan errores notables, como errores ortográficos en los nombres de las partes principales en lo que parecen ser contratos oficiales del gobierno", dijo.

¿Un motivo potencial?

Otra cualidad importante de estos señuelos es que son bastante específicos.

Los ejemplos en inglés incluyen un documento de política de ciberseguridad de una ONG georgiana y un itinerario de enero que detalla la reunión y el ejercicio Bell Buoy (XBB2024) de 24 para los participantes del Grupo de Trabajo de Transporte Marítimo del Océano Índico Pacífico (PACIOSWG) de la Marina de los EE. UU.

Y están los señuelos con temas financieros: un documento bielorruso con recomendaciones para crear condiciones comerciales que faciliten las empresas interestatales para 2025, en consonancia con una iniciativa de la Unión Económica Euroasiática, un documento de política presupuestaria del Ministerio de Economía de Argentina que ofrece “directrices estratégicas” para ayudar a presidente con la política económica nacional, y más en este sentido.

"Es probable que la recopilación de información confidencial sobre preocupaciones presupuestarias y la postura de seguridad de las entidades globales sea un objetivo de alta prioridad dado el espacio de misión establecido de ITG05", dijo X-Force en su informe sobre la campaña.

Argentina, por ejemplo, rechazó recientemente una invitación para unirse a la organización comercial BRICS (Brasil, Rusia, India, China, Sudáfrica), por lo que “es posible que ITG05 busque lograr un acceso que pueda brindar información sobre las prioridades del gobierno argentino”. ”, dijo X-Force.

Actividad posterior a la explotación

Además de la especificidad y una apariencia de legitimidad, los atacantes utilizan un truco psicológico más para atrapar a las víctimas: presentarles inicialmente sólo una versión borrosa del documento. Como en la imagen a continuación, los destinatarios pueden ver los detalles suficientes para darse cuenta de que estos documentos parecen oficiales e importantes, pero no los suficientes como para evitar tener que hacer clic en ellos.

Documento de muestra de señuelo; Fuente: IBM

Cuando las víctimas en sitios controlados por atacantes hacen clic para ver los documentos señuelo, descargan una puerta trasera de Python llamada "Masepie". Descubierto por primera vez en diciembre, es capaz de establecer persistencia en una máquina con Windows y permitir la descarga y carga de archivos y la ejecución de comandos arbitrarios.

Uno de los archivos que Masepie descarga en las máquinas infectadas es "Oceanmap", una herramienta basada en C# para la ejecución de comandos a través del Protocolo de acceso a mensajes de Internet (IMAP). La variante original de Oceanmap (no la utilizada aquí) tenía una funcionalidad de robo de información que desde entonces ha sido eliminada y transferida a "Steelhook", la otra carga útil descargada de Masepie asociada con esta campaña.

Steelhook es un script de PowerShell cuyo trabajo es extraer datos de Google Chrome y Microsoft Edge a través de un webhook.

Más notable que su malware es la inmediatez de acción de Fancy Bear. Como describió por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), Fancy Bear infecta durante la primera hora de aterrizar en una máquina víctima, descarga puertas traseras y realiza reconocimiento y movimiento lateral a través de hashes NTLMv2 robados para ataques de retransmisión.

Por lo tanto, las víctimas potenciales deben actuar rápidamente o, mejor aún, prepararse con anticipación para sus infecciones. Pueden hacerlo siguiendo la larga lista de recomendaciones de IBM: monitoreo de correos electrónicos con URL proporcionadas por el proveedor de alojamiento de Fancy Bear, FirstCloudIT, y tráfico IMAP sospechoso a servidores desconocidos, abordando sus vulnerabilidades favoritas, como CVE-2024-21413, CVE-2024. -21410, CVE-2023-23397, CVE-2023-35636 – y mucho más.

"ITG05 seguirá aprovechando los ataques contra los gobiernos del mundo y su aparato político para proporcionar a Rusia una visión avanzada de las decisiones políticas emergentes", concluyeron los investigadores.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/threat-intelligence/russian-intelligence-targets-victims-worldwide-in-rapid-fire-cyberattacks