
Las entidades en Ucrania han sido atacadas como parte de una campaña de phishing diseñada para distribuir un troyano de acceso remoto llamado REMCOS RAT.
“Los nombres de archivo usan palabras rusas relacionadas con el movimiento de tropas en Ucrania como señuelo”, el investigador de Cisco Talos Guilherme Venere dicho en un informe publicado la semana pasada. “El descargador de PowerShell contacta a los servidores geográficos ubicados en Rusia y Alemania para descargar el archivo zip de la segunda etapa que contiene la puerta trasera REMCOS”.
La actividad se ha atribuido con una confianza moderada a un grupo de piratería ruso conocido como Gamaredon, que también se rastrea bajo los apodos Aqua Blizzard, Armageddon, Blue OTSO, Bluealpha, Hive0051, Iron Tilden, primitivo oso, shuckworm, trident USSA, UAC-0010, UNC530 y invierno.
El actor de amenaza, evaluado como afiliado al Servicio Federal de Seguridad de Rusia (FSB), es conocido por su objetivo de organizaciones ucranianas por espionaje y robo de datos. Está operativo desde al menos 2013.
La última campaña se caracteriza por la distribución de archivos de acceso directo de Windows (LNK) comprimido dentro de los archivos zip, disfrazándolos como documentos de Microsoft Office relacionados con la guerra en curso ruso-ucraniana para engañar a los destinatarios para que los abran. Se cree que estos archivos se envían a través de correos electrónicos de phishing.
Los enlaces a Gamaredon provienen del uso de dos máquinas que se utilizaron para crear los archivos de acceso directo malicioso y que fueron previamente utilizado por el actor de amenaza para fines similares.
Los archivos LNK vienen equipados con el código PowerShell que es responsable de descargar y ejecutar el comando de carga de carga útil de la próxima etapa, así como para obtener un archivo de señuelo que se muestra a la víctima para mantener la artimaña.
La segunda etapa es otro archivo ZIP, que contiene una DLL maliciosa que se ejecutará a través de una técnica denominada carga lateral de DLL. El DLL es un cargador que descifra y ejecuta la carga útil REMCOS final de los archivos cifrados presentes dentro del archivo.
La divulgación se produce cuando Silent Push detalló una campaña de phishing que utiliza señuelos del sitio web para recopilar información contra las personas rusas que simpatizan con Ucrania. Se cree que la actividad es obra de servicios de inteligencia rusos o un actor de amenaza alineado con Rusia.
La campaña consta de cuatro grupos de phishing principales, que se hace pasar por la Agencia Central de Inteligencia de los Estados Unidos (CIA), el Cuerpo de Voluntarios de Rusia, Legion Liberty y Hochuzhit “Quiero vivir”, un línea directa por recibir apelaciones de miembros del servicio ruso en Ucrania para rendirse a las Fuerzas Armadas de Ucrania.
Se ha encontrado que las páginas de phishing están alojadas en un proveedor de alojamiento a prueba de balas, Nybula LLC, con los actores de amenaza que confían en las formularios de Google y las respuestas por correo electrónico para recopilar información personal, incluidas sus puntos de vista políticos, malos hábitos y aptitud física, de las víctimas.
“Todas las campañas […] observado ha tenido rasgos similares y compartido un objetivo común: recopilar información personal de víctimas de visitas al sitio “, Silent Push dicho. “Estos honeypots de phishing son probablemente el trabajo de los servicios de inteligencia rusos o un actor de amenaza alineado con los intereses rusos”.





