Un actor de amenazas bielorruso conocido como Ghostwriter (también conocido como UNC1151) ha sido visto aprovechando la técnica de navegador en el navegador (BitB) recientemente revelada como parte de sus campañas de phishing de credenciales que explotan el conflicto ruso-ucraniano en curso.
El método, que se hace pasar por un dominio legítimo simulando una ventana de navegador dentro del navegador, hace posible montar campañas de ingeniería social convincentes.
«Los actores de escritores fantasmas adoptaron rápidamente esta nueva técnica, combinándola con una técnica observada anteriormente, alojando páginas de aterrizaje de phishing de credenciales en sitios comprometidos», el Grupo de Análisis de Amenazas (TAG) de Google. dijo en un nuevo informe, usándolo para desviar las credenciales ingresadas por víctimas insospechadas a un servidor remoto.
Entre otros grupos que utilizan la guerra como señuelo en campañas de phishing y malware para engañar a los objetivos para que abran correos electrónicos o enlaces fraudulentos se encuentran Mustang Panda y Scarab, así como actores de estados-nación de Irán, Corea del Norte y Rusia.
También se incluye en la lista Curious Gorge, un equipo de piratería que TAG ha atribuido a la Fuerza de Apoyo Estratégico del Ejército Popular de Liberación de China (PLASSF), que ha orquestado ataques contra organizaciones gubernamentales y militares en Ucrania, Rusia, Kazajstán y Mongolia.
Un tercer conjunto de ataques observados durante el período de las últimas dos semanas se originó en un grupo de piratería con sede en Rusia conocido como COLDRIVER (también conocido como Calisto). TAG dijo que el actor realizó campañas de phishing de credenciales dirigidas a múltiples ONG y grupos de expertos con sede en EE. UU., el ejército de un país de los Balcanes y un contratista de defensa ucraniano no identificado.
«Sin embargo, por primera vez, TAG ha observado campañas de COLDRIVER dirigidas al ejército de varios países de Europa del Este, así como un Centro de Excelencia de la OTAN», dijo el investigador de TAG Billy Leonard. «Estas campañas se enviaron utilizando cuentas de Gmail recién creadas a cuentas que no son de Google, por lo que se desconoce la tasa de éxito de estas campañas».
Viasat descompone el ataque del 24 de febrero
La divulgación se produce cuando la empresa de telecomunicaciones con sede en EE. UU. Viasat reveló detalles de un ataque cibernético «multifacético y deliberado» contra su red KA-SAT el 24 de febrero de 2022, coincidiendo con la invasión militar rusa de Ucrania.
El ataque al servicio de banda ancha por satélite desconectó decenas de miles de módems de la red, lo que afectó a varios clientes en Ucrania y en toda Europa y afectó a la operaciones de 5.800 aerogeneradores perteneciente a la empresa alemana Enercon en Europa Central.
«Creemos que el propósito del ataque fue interrumpir el servicio», dijo la empresa. explicado. «No hay evidencia de que se haya accedido o comprometido ningún dato del usuario final, ni de que se haya accedido indebidamente al equipo personal del cliente (PC, dispositivos móviles, etc.), ni hay evidencia de que el satélite KA-SAT en sí mismo o su tierra satelital de apoyo la infraestructura misma estuvo directamente involucrada, dañada o comprometida».
Viasat vinculó el ataque a una «intrusión en la red terrestre» que aprovechó una mala configuración en un dispositivo VPN para obtener acceso remoto a la red KA-SAT y ejecutar comandos destructivos en los módems que «sobrescribieron datos clave en la memoria flash», convirtiéndolos temporalmente incapaz de acceder a la red.
Disidentes rusos atacados con Cobalt Strike
Los implacables ataques son los últimos de una larga lista de actividades cibernéticas maliciosas que surgieron a raíz del conflicto continuo en Europa del Este, con redes gubernamentales y comerciales que sufren una serie de infecciones disruptivas de borrado de datos junto con una serie de ataques distribuidos en curso. Ataques de denegación de servicio (DDoS).
Esto también ha tomado la forma de comprometer sitios legítimos de WordPress para inyectar código JavaScript falso con el objetivo de llevar a cabo ataques DDoS contra dominios ucranianos, según investigadores del MalwareHunterTeam.
Pero no es sólo Ucrania. Esta semana, Malwarebytes Labs presentó los detalles de una nueva campaña de phishing dirigido a ciudadanos rusos y entidades gubernamentales en un intento de implementar cargas útiles perniciosas en sistemas comprometidos.
«Los correos electrónicos de spear phishing advierten a las personas que usan sitios web, redes sociales, mensajería instantánea y servicios VPN que han sido prohibidos por el gobierno ruso y que se presentarán cargos penales», Hossein Jazi dijo. «Se atrae a las víctimas para que abran un archivo adjunto o enlace malicioso para obtener más información, solo para infectarse con Cobalt Strike».
Los documentos RTF con malware contienen un exploit para la vulnerabilidad de ejecución remota de código MSHTML ampliamente abusada (CVE-2021-40444), lo que lleva a la ejecución de un código JavaScript que genera un comando PowerShell para descargar y ejecutar una baliza Cobalt Strike recuperada de un servidor remoto.
Otro grupo de actividad potencialmente se relaciona con un actor de amenazas ruso rastreado como Carbon Spider (también conocido como FIN7), que ha empleado un vector de ataque similar orientado a maldocs que está diseñado para lanzar una puerta trasera basada en PowerShell capaz de buscar y ejecutar un ejecutable de la siguiente etapa.
Malwarebytes también dijo que detectó un «aumento significativo en las familias de malware que se utilizan con la intención de robar información u obtener acceso en Ucrania», incluyendo Hacktool.LOIC, Gusano AinslotFFDroider, libro de formularios, Remcosy rata cuásar.
«Si bien estas familias son relativamente comunes en el mundo de la ciberseguridad, el hecho de que hayamos presenciado picos casi exactamente cuando las tropas rusas cruzaron la frontera con Ucrania hace que estos desarrollos sean interesantes e inusuales», dijo Adam Kujawa, director de Malwarebytes Labs, en un comunicado compartido con Las noticias de los hackers.