El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre un nuevo conjunto de ataques cibernéticos que, según dijo, estaban dirigidos a empresas de defensa del país, así como a sus fuerzas de seguridad y defensa.
Los ataques de phishing se han atribuido a un actor de amenazas vinculado a Rusia llamado UAC-0185 (también conocido como UNC4221), que ha estado activo desde al menos 2022.
“Los correos electrónicos de phishing imitaban mensajes oficiales de la Liga Ucraniana de Industriales y Empresarios”, CERT-UA dicho. “Los correos electrónicos anunciaban una conferencia celebrada el 5 de diciembre en Kiev, cuyo objetivo era alinear los productos de las empresas nacionales de la industria de defensa con los estándares de la OTAN”.
Los mensajes de correo electrónico vienen con una URL maliciosa que insta a los destinatarios a hacer clic en ella para ver “información importante” relacionada con su participación en la conferencia.
Pero, en realidad, al hacerlo se descarga un archivo de acceso directo de Windows que, al abrirse, está diseñado para ejecutar una aplicación HTML que, a su vez, contiene código JavaScript responsable de ejecutar comandos de PowerShell que son capaces de cargar cargas útiles de la siguiente etapa. .
Esto incluye un archivo señuelo y un archivo ZIP que contiene un script por lotes, otra aplicación HTML y un archivo ejecutable. En el paso final, se inicia el script por lotes para ejecutar el archivo de la aplicación HTML, que luego ejecuta el binario MeshAgent en el host, otorgando a los atacantes control remoto sobre el sistema comprometido.
CERT-UA dijo que el actor de amenazas se centra principalmente en robar credenciales asociadas con aplicaciones de mensajería como Signal, Telegram y WhatsApp, y los sistemas militares de Ucrania como DELTA, Teneta y Kropyva.
“Los piratas informáticos también lanzaron una serie de ciberataques para obtener acceso no autorizado a los ordenadores de los trabajadores de las empresas de defensa y de los representantes de las fuerzas de seguridad y defensa”, dijo la agencia.
Según Mandiant, propiedad de Google, que expuso UNC4221 en la SentinelLabs LABScon conferencia de seguridad a principios de septiembre, el actor de amenazas es conocido por recopilar “datos relevantes para el campo de batalla mediante el uso de malware para Android, operaciones de phishing disfrazadas de aplicaciones militares ucranianas y operaciones dirigidas a plataformas de mensajería populares como Telegram y WhatsApp”.
About the Author
