La amenaza persistente avanzada conocida como invierno viverno se ha vinculado a campañas dirigidas a funcionarios gubernamentales en India, Lituania, Eslovaquia y el Vaticano desde 2021.
La actividad se dirigió a las agencias del gobierno polaco, el Ministerio de Relaciones Exteriores de Ucrania, el Ministerio de Relaciones Exteriores de Italia y personas dentro del gobierno indio, dijo SentinelOne en un informe compartido con The Hacker News.
«De particular interés es el objetivo de la APT de empresas privadas, incluidas las organizaciones de telecomunicaciones que apoyan a Ucrania en la guerra en curso», dijo el investigador principal de amenazas Tom Hegel. dicho.
Winter Vivern, también rastreado como UAC-0114, llamó la atención el mes pasado después de que el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) detallara una nueva campaña de malware dirigida a las autoridades estatales de Ucrania y Polonia para entregar una pieza de malware denominada Aperetif.
Informes públicos anteriores sobre el grupo muestran que ha aprovechado documentos de Microsoft Excel armados que contienen macros XLM para implementar implantes de PowerShell en hosts comprometidos.
Si bien se desconocen los orígenes del actor de amenazas, los patrones de ataque sugieren que el grupo está alineado con objetivos que respaldan los intereses de los gobiernos de Bielorrusia y Rusia.
UAC-0114 ha empleado una variedad de métodos, que van desde sitios web de phishing hasta documentos maliciosos, que se adaptan a la organización objetivo para distribuir sus cargas útiles personalizadas y obtener acceso no autorizado a sistemas confidenciales.
En una serie de ataques observados a mediados de 2022, Winter Vivern configuró páginas web de phishing de credenciales para atraer a los usuarios del servicio de correo electrónico legítimo del gobierno indio email.gov[.]en.
Las cadenas de ataque típicas implican el uso de secuencias de comandos por lotes que se hacen pasar por detectores de virus para desencadenar la implementación del troyano Aperetif desde la infraestructura controlada por actores, como los sitios de WordPress comprometidos.
Aperetif, un malware basado en Visual C++, viene con funciones para recopilar datos de las víctimas, mantener el acceso de puerta trasera y recuperar cargas útiles adicionales del servidor de comando y control (C2).
«El Winter Vivern APT es un grupo de recursos limitados pero muy creativo que muestra moderación en el alcance de sus ataques», dijo Hegel.
«Su capacidad para atraer objetivos a los ataques y su orientación a gobiernos y empresas privadas de alto valor demuestran el nivel de sofisticación y la intención estratégica en sus operaciones».
Si bien Winter Vivern pudo haber logrado evadir la atención del público durante largos períodos de tiempo, un grupo que no está demasiado preocupado por permanecer bajo el radar es Nobelium, que comparte superposiciones con APT29 (también conocido como BlueBravo, Cozy Bear o The Dukes).
El grupo de estado-nación respaldado por el Kremlin, conocido por el compromiso de la cadena de suministro de SolarWinds en diciembre de 2020, ha seguido evolucionando su conjunto de herramientas, desarrollando nuevo malware personalizado como MagicWeb y GraphicalNeutrino.
También se ha atribuido a otra campaña de phishing dirigida contra entidades diplomáticas en la Unión Europea, con énfasis específico en agencias que «ayudan a los ciudadanos ucranianos que huyen del país y brindan ayuda al gobierno de Ucrania».
«Nobelium recopila activamente información de inteligencia sobre los países que apoyan a Ucrania en la guerra Rusia-Ucrania», BlackBerry dicho. «Los actores de amenazas siguen cuidadosamente los eventos geopolíticos y los utilizan para aumentar su posibilidad de una infección exitosa».
Los correos electrónicos de phishing, detectados por el equipo de investigación e inteligencia de la compañía, contienen un documento armado que incluye un enlace que apunta a un archivo HTML.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Las URL armadas, alojadas en un sitio web legítimo de biblioteca en línea con sede en El Salvador, presentan señuelos relacionados con LegisWrite y eTrustEx, los cuales son utilizados por las naciones de la UE para el intercambio seguro de documentos.
El gotero HTML (llamado ROOTSAW o EnvyScout) entregado en la campaña incorpora una imagen ISO que, a su vez, está diseñada para lanzar una biblioteca de enlaces dinámicos (DLL) maliciosa que facilita la entrega de un malware de próxima etapa a través de las API de Notion.
El uso de Notion, una popular aplicación para tomar notas, para comunicaciones C2 fue revelado previamente por Recorded Future en enero de 2023. Vale la pena señalar que APT29 ha empleado varios servicios en línea como Dropbox, Google Drive, Firebase y Trello en un intento de evadir la detección.
«Nobelium se mantiene muy activo, ejecutando múltiples campañas en paralelo dirigidas a organizaciones gubernamentales, organizaciones no gubernamentales (ONG), organizaciones intergubernamentales (IGO) y grupos de expertos en los EE. UU., Europa y Asia Central», Microsoft fijado el mes pasado.
Los hallazgos también se producen cuando la empresa de seguridad empresarial Proofpoint reveló agresivas campañas de correo electrónico orquestadas por un actor de amenazas alineado con Rusia llamado TA499 (también conocido como Lexus y Vovan) desde principios de 2021 para engañar a los objetivos para que participen en llamadas telefónicas grabadas o chats de video y extraer información valiosa.
«El actor de amenazas se ha involucrado en una actividad constante y amplió su objetivo para incluir empresarios prominentes e individuos de alto perfil que han hecho grandes donaciones a los esfuerzos humanitarios de Ucrania o aquellos que hacen declaraciones públicas sobre la desinformación y la propaganda rusa», dijo la compañía. dicho.