Los actores de amenazas vinculados a Rusia han sido atribuidos a una campaña de ciberespionaje en curso dirigida a Kazajstán como parte de los esfuerzos del Kremlin para recopilar inteligencia económica y política en Asia Central.
Se ha evaluado que la campaña es obra de un grupo de intrusión denominado UAC-0063que probablemente se superpone con APT28, un grupo de estados-nación afiliado a la Dirección Principal de Inteligencia del Estado Mayor General (GRU) de Rusia. También se conoce como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422.
UAC-0063 fue documentado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios de 2023, detallando sus ataques a entidades gubernamentales utilizando familias de malware rastreadas como HATVIBE, CHERRYSPY y STILLARCH (también conocido como DownEx). Vale la pena señalar que el uso de estas cepas de malware ha sido exclusivo de este grupo.
Se han observado campañas posteriores que apuntan a organizaciones en Asia Central, Asia Oriental y Europa, según Insikt Group de Recorded Future, que asignó al grupo de actividades el nombre TAG-110.
“El objetivo de UAC-0063 sugiere un enfoque en la recopilación de inteligencia en sectores como el gobierno, incluida la diplomacia, las ONG, el mundo académico, la energía y la defensa, con un enfoque geográfico en Ucrania, Asia Central y Europa del Este”, dijo la empresa francesa de ciberseguridad Sekoia. dicho en un nuevo análisis.
El último conjunto de ataques implica el uso de documentos legítimos de Microsoft Office procedentes del Ministerio de Asuntos Exteriores de la República de Kazajstán como señuelos de phishing para activar una cadena de infección de varias etapas denominada Double-Tap que elimina el malware HATVIBE. Actualmente no se sabe cómo se obtuvieron estos documentos, aunque es posible que hayan sido exfiltrados en una campaña anterior.
Específicamente, los documentos están vinculados con una macro maliciosa que, cuando la ejecutan las víctimas, está diseñada para crear un segundo documento en blanco en “C:Users[USER]Ubicación AppDataLocalTemp”.
“Este segundo documento se abre automáticamente en una instancia oculta de Word mediante la macro inicial, para soltar y ejecutar un archivo HTA (aplicación HTML) malicioso que incorpora un VBS. [Visual Basic Script] puerta trasera apodada ‘HATVIBE'”, dijeron los investigadores de Sekoia.
HATVIBE opera como un cargador, recibiendo módulos VBS de siguiente etapa para su ejecución desde un servidor remoto, lo que en última instancia allana el camino para una sofisticada puerta trasera de Python llamada CHERRYSPY. El archivo HTA que contiene HATVIBE está diseñado para ejecutarse durante cuatro minutos iniciando mshta.exe.
“Lo que hace que esta cadena de infección Double-Tap sea única es que emplea muchos trucos para eludir las soluciones de seguridad, como almacenar el código de macro malicioso real en el archivo settings.xml y crear una tarea programada sin generar schtasks.exe para el segundo documento o utilizando, para el primer documento, un truco anti-emulación destinado a ver si el tiempo de ejecución no ha sido alterado, de lo contrario la macro se detiene”, dijeron los investigadores.
Sekoia dijo que la secuencia de ataque de HATVIBE demuestra superposiciones técnicas y de objetivos con Zebrocy relacionado con APT28. campañaslo que le permite atribuir el grupo UAC-0063 al grupo de hackers ruso con una confianza media.
“El tema del phishing de documentos armados indica una campaña de ciberespionaje centrada en la recopilación de inteligencia estratégica sobre las relaciones diplomáticas entre los estados de Asia Central, especialmente sobre las relaciones exteriores de Kazajstán, por parte de la inteligencia rusa”, añadió la compañía.
La plataforma SORM de Rusia se vende en Asia Central y América Latina
El desarrollo se produce cuando Recorded Future reveló que varios países de Asia Central y América Latina han comprado la tecnología de escuchas telefónicas del Sistema para Actividades Operativas de Investigación (SORM) de al menos ocho proveedores rusos, como Citadel, Norsi-Trans y Protei, lo que podría permitir que la inteligencia rusa agencias para interceptar las comunicaciones.
El SORM de Rusia es un aparato de vigilancia electrónica capaz de interceptar una amplia gama de tráfico de Internet y telecomunicaciones por parte de las autoridades sin el conocimiento de los propios proveedores de servicios. Permite monitorear las comunicaciones fijas y móviles, así como el tráfico de Internet, Wi-Fi y las redes sociales, todo lo cual se puede almacenar en una base de datos con capacidad de búsqueda.
Se ha evaluado que los antiguos territorios soviéticos de Bielorrusia, Kazajstán, Kirguistán y Uzbekistán, y las naciones latinoamericanas de Cuba y Nicaragua, muy probablemente hayan adquirido la tecnología para realizar escuchas telefónicas a los ciudadanos.
“Si bien estos sistemas tienen aplicaciones de seguridad legítimas, los gobiernos […] tienen un historial de uso indebido de las capacidades de vigilancia, incluida la represión de la oposición política, periodistas y activistas, sin una supervisión efectiva o independiente”, Insikt Group dicho.
“En términos más generales, la exportación de tecnologías de vigilancia rusas probablemente seguirá ofreciendo a Moscú oportunidades para expandir su influencia, particularmente en áreas que considera que están bajo su esfera tradicional del “extranjero cercano”.
About the Author
