El grupo ruso de ciberespionaje conocido como turla se ha observado aprovechando la infraestructura de ataque utilizada por un malware de hace una década para entregar sus propias herramientas de reconocimiento y puerta trasera a objetivos en Ucrania.
Mandiant, propiedad de Google, que está rastreando la operación bajo el nombre de clúster no categorizado UNC4210dijo que los servidores secuestrados corresponden a una variante de un malware básico llamado ANDROMEDA (también conocido como Gamarue) que se subió a VirusTotal en 2013.
«UNC4210 volvió a registrar al menos tres dominios de comando y control (C2) ANDROMEDA vencidos y comenzó a perfilar víctimas para implementar selectivamente KOPILUWAK y QUIETCANARY en septiembre de 2022», investigadores de Mandiant dicho en un análisis publicado la semana pasada.
Turla, también conocido con los nombres de Iron Hunter, Krypton, Uroburos, Venomous Bear y Waterbug, es un equipo de élite de un estado-nación que se dirige principalmente a organizaciones gubernamentales, diplomáticas y militares que utilizan un gran conjunto de malware personalizado.
Desde el inicio de la invasión militar rusa de Ucrania en febrero de 2022, el colectivo adversario ha estado vinculado a una serie de esfuerzos de reconocimiento y phishing de credenciales dirigidos a entidades ubicadas en el país.
En julio de 2022, el Grupo de análisis de amenazas (TAG) de Google reveló que Turla creó una aplicación de Android maliciosa para supuestamente «ayudar» a los hacktivistas pro-ucranianos a lanzar ataques de denegación de servicio distribuido (DDoS) contra sitios rusos.
El último descubrimiento de Mandiant muestra que Turla ha estado cooptando sigilosamente infecciones antiguas como mecanismo de distribución de malware, sin mencionar el hecho de que ANDROMEDA se propaga a través de llaves USB infectadas.
«El malware que se propaga por USB sigue siendo un vector útil para obtener acceso inicial a las organizaciones», dijo la firma de inteligencia de amenazas.
En el incidente analizado por Mandiant, se dice que se insertó una memoria USB infectada en una organización ucraniana no identificada en diciembre de 2021, lo que finalmente condujo al despliegue de un artefacto heredado de ANDROMEDA en el host al iniciar un archivo de enlace malicioso (.LNK) que se hace pasar por una carpeta dentro de la unidad USB.
Luego, el actor de amenazas reutilizó uno de los dominios inactivos que formaban parte de la infraestructura C2 extinta de ANDROMEDA, que volvió a registrar en enero de 2022, para perfilar a la víctima al entregar la primera etapa. KOPILUWAK cuentagotas, una utilidad de reconocimiento de red basada en JavaScript.
Dos días después, el 8 de septiembre de 2022, el ataque pasó a la fase final con la ejecución de un implante basado en .NET denominado QUIETCANARY (también conocido como Tunnus), lo que resulta en la exfiltración de archivos creados después del 1 de enero de 2021.
El oficio empleado por Turla encaja con los informes anteriores de los extensos esfuerzos de perfilado de víctimas del grupo que coincidieron con la guerra ruso-ucraniana, lo que podría ayudarlo a adaptar sus esfuerzos de explotación posteriores para recopilar la información de interés para Rusia.
También es uno de los raros casos en los que se ha identificado una unidad de piratería dirigida a las víctimas de una campaña de malware diferente para cumplir sus propios objetivos estratégicos, al mismo tiempo que oscurece su función.
«A medida que el malware ANDROMEDA más antiguo continúa propagándose desde dispositivos USB comprometidos, estos dominios registrados nuevamente representan un riesgo ya que los nuevos actores de amenazas pueden tomar el control y entregar nuevo malware a las víctimas», dijeron los investigadores.
«Esta técnica novedosa de reclamar dominios caducados utilizados por malware de amplia distribución y motivado financieramente puede permitir compromisos de seguimiento en una amplia gama de entidades. Además, es más probable que los defensores pasen por alto el malware y la infraestructura más antiguos al clasificar una amplia variedad de alertas. .»
COLDRIVER apunta a los laboratorios de investigación nuclear de EE. UU.
Los hallazgos también aparecen como Reuters reportado que otro grupo de amenazas patrocinado por el estado ruso con nombre en código COLDRIVER (también conocido como Callisto o SEABORGIUM) apuntó a tres laboratorios de investigación nuclear en los EE. UU. a principios de 2022.
Con ese fin, los ataques digitales implicaron la creación de páginas de inicio de sesión falsas para los Laboratorios Nacionales Brookhaven, Argonne y Lawrence Livermore en un intento de engañar a los científicos nucleares para que revelaran sus contraseñas.
Las tácticas son consistentes con la actividad conocida de COLDRIVER, que recientemente se desenmascaró falsificando las páginas de inicio de sesión de empresas de consultoría de defensa e inteligencia, así como de ONG, grupos de expertos y entidades de educación superior en el Reino Unido y los EE. UU.