Actividad cibernética continua en Europa del Este observada por TAG
Actividad cibernética continua en Europa del Este observada por TAG
El Grupo de Análisis de Amenazas (TAG) de Google sigue vigilando de cerca el entorno de la ciberseguridad en Europa del Este con respecto a la guerra en Ucrania. Muchos de los activos cibernéticos del gobierno ruso han permanecido centrados en Ucrania y cuestiones relacionadas desde que comenzó la invasión, mientras que la actividad de las APT rusas fuera de Ucrania sigue siendo en gran medida la misma. TAG sigue interrumpiendo las campañas de múltiples grupos de atacantes respaldados por el gobierno ruso, algunos de los cuales se detallan en nuestras actualizaciones anteriores.
Del mismo modo, los esfuerzos de desinformación observados por Rusia también se centran en la guerra de Ucrania y TAG ha interrumpido las operaciones de influencia coordinadas de varios actores, incluyendo la Agencia de Investigación de Internet y una empresa consultora rusa, como se detalla en el Boletín de TAG. La mayoría de estas operaciones de influencia coordinadas son esfuerzos en lengua rusa destinados a asegurar el apoyo interno en Rusia para la guerra.
A continuación, se analiza en profundidad la actividad de algunas campañas que TAG ha observado desde nuestra última actualización:
Turla, un grupo atribuido públicamente al Servicio Federal de Seguridad de Rusia (FSB), ha alojado recientemente aplicaciones para Android en un dominio que suplanta al Regimiento Azov de Ucrania. Este es el primer caso conocido de Turla distribuyendo malware relacionado con Android. Las aplicaciones no se distribuyeron a través de Google Play Store, sino que se alojaron en un dominio controlado por el actor y se difundieron a través de enlaces en servicios de mensajería de terceros. Creemos que no hubo un impacto importante en los usuarios de Android y que el número de instalaciones fue minúsculo.
La aplicación se distribuye con el pretexto de realizar ataques de denegación de servicio (DoS) contra un conjunto de sitios web rusos. Sin embargo, la “denegación de servicio” consiste en una única solicitud GET al sitio web objetivo, lo que no es suficiente para ser eficaz. La lista de sitios web objetivo de la aplicación puede verse en la receta de CyberChef aquí.
Durante nuestra investigación sobre las aplicaciones de Turla CyberAzov, identificamos otra aplicación para Android vista por primera vez en marzo de 2022 que también afirmaba realizar ataques DoS contra sitios web rusos. En este caso, el nombre de la aplicación para Android era stopwar.apk (com.ddos.stopwar) y se distribuía desde el sitio web stopwar.pro. Esta aplicación es bastante diferente de las aplicaciones de Turla descritas anteriormente y está escrita por un desarrollador diferente. También descarga una lista de objetivos desde un sitio externo, pero a diferencia de las aplicaciones de Turla, envía continuamente peticiones a los sitios web de destino hasta que el usuario la detiene.
Basándonos en nuestro análisis, creemos que la aplicación StopWar fue desarrollada por desarrolladores pro-ucranianos y fue la inspiración en la que los actores de Turla basaron su falsa aplicación CyberAzov DoS.
Indicadores:
- https://cyberazov[.]com/apk/CyberAzov.apk
- 745e8c90a8e76f81021ff491cbc275bc134cdd7d23826b8dd23e58297fd0dd33
- 3c62b24594ec3cacc14bdca068a0277e855967210e92c2c17bcf7c7d0d6b782a
La vulnerabilidad Follina (CVE-2022-30190), revelada por primera vez a finales de mayo, recibió un uso significativo por parte de grupos de APT y de ciberdelincuentes a lo largo de junio, después de que Microsoft la parchease. Follina es una vulnerabilidad de ejecución remota de código (RCE) en la Herramienta de Diagnóstico de Soporte de Microsoft Windows (MSDT).
En consonancia con los informes del CERT-UA, TAG observó que varios actores rusos de la GRU -APT28 y Sandworm- llevaron a cabo campañas para explotar la vulnerabilidad Follina. La campaña de Sandworm utilizó cuentas gubernamentales comprometidas para enviar enlaces a documentos de Microsoft Office alojados en dominios comprometidos, dirigidos principalmente a organizaciones de medios de comunicación en Ucrania.
TAG también ha observado un número creciente de actores con motivaciones financieras que atacan a Ucrania. Una campaña reciente de un grupo rastreado por CERT-UA como UAC-0098 entregó documentos maliciosos con el exploit Follina en archivos protegidos por contraseña, haciéndose pasar por el Servicio Estatal de Impuestos de Ucrania. Creemos que este actor es un antiguo intermediario de acceso a ransomware inicial que trabajó previamente con el grupo de ransomware Conti, que distribuye el troyano bancario IcedID, basándonos en las coincidencias en la infraestructura, las herramientas utilizadas en campañas anteriores y un criptor único.
Ghostwriter/UNC1151, un actor de amenazas atribuido a Bielorrusia, ha permanecido activo atacando cuentas de correo electrónico y redes sociales de usuarios polacos. Siguen utilizando la técnica de phishing “Browser in the Browser” que TAG observó y describió por primera vez en marzo. Un ejemplo de esta técnica, utilizada para atacar a los usuarios de Facebook, puede verse en la siguiente captura de pantalla.
COLDRIVER, un actor de amenazas con base en Rusia al que a veces se le conoce como Callisto, sigue enviando correos electrónicos de phishing de credenciales a objetivos que incluyen funcionarios del gobierno y de la defensa, políticos, ONG y grupos de reflexión, y periodistas. Además de incluir enlaces de phishing directamente en el correo electrónico, los atacantes también enlazan a PDFs y/o DOCs, alojados en Google Drive y Microsoft One Drive, que contienen un enlace a un dominio de phishing controlado por el atacante. En al menos un caso, no relacionado con Ucrania, han filtrado información de una cuenta comprometida.
Estos dominios de phishing han sido bloqueados a través de Google Safe Browsing, un servicio que identifica los sitios web inseguros en la web y notifica a los usuarios y a los propietarios de los sitios web de posibles daños.
Indicadores de COLDRIVER observados recientemente:
En otra campaña rastreada por CERT-UA como UAC-0056 observamos direcciones de correo electrónico comprometidas de una oficina de la Fiscalía Regional de Ucrania aprovechadas para enviar documentos maliciosos de Microsoft Excel con macros VBA que entregaban Cobalt Strike. En sólo dos días, el volumen observado y categorizado como spam por Gmail superó los 4.500 correos electrónicos. Los contenidos de los correos electrónicos varían desde la política de la vacuna COVID-19 hasta la crisis humanitaria en Ucrania.
Referencia https://blog.google/threat-analysis-group/continued-cyber-activity-in-eastern-europe-observed-by-tag/
