El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques cibernéticos perpetrados por piratas informáticos del estado-nación ruso contra varios organismos gubernamentales del país.
La agencia atribuido la campaña de phishing a APT28, que también se conoce con los nombres Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, Sednit y Sofacy.
Los mensajes de correo electrónico vienen con el asunto «Actualización de Windows» y supuestamente contienen instrucciones en idioma ucraniano para ejecutar un comando de PowerShell con el pretexto de actualizaciones de seguridad.
Ejecutar el script carga y ejecuta un script de PowerShell de siguiente etapa que está diseñado para recopilar información básica del sistema a través de comandos como lista de tareas y información del sistemay filtrar los detalles a través de una solicitud HTTP a un API simulada.
Para engañar a los objetivos para que ejecuten el comando, los correos electrónicos se hicieron pasar por administradores de sistemas de las entidades gubernamentales objetivo utilizando cuentas de correo electrónico de Microsoft Outlook falsas creadas con los nombres e iniciales reales de los empleados.
CERT-UA recomienda que las organizaciones restrinjan la capacidad de los usuarios para ejecutar scripts de PowerShell y monitorear las conexiones de red a la API de Mocky.
La divulgación se produce semanas después de que el APT28 se vinculara con ataques que explotaban fallas de seguridad ahora parcheadas en equipos de red para realizar reconocimientos e implementar malware contra objetivos seleccionados.
El Grupo de Análisis de Amenazas (TAG) de Google, en un aviso publicado el mes pasado, detalló una operación de recopilación de credenciales realizada por el actor de amenazas para redirigir a los visitantes de los sitios web del gobierno ucraniano a dominios de phishing.
Los equipos de piratas informáticos con sede en Rusia también se han relacionado con la explotación de una falla crítica de escalada de privilegios en Microsoft Outlook (CVE-2023-23397, puntaje CVSS: 9.8) en intrusiones dirigidas contra los sectores gubernamental, de transporte, energético y militar en Europa.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
El desarrollo también viene como Fortinet FortiGuard Labs descubierto un ataque de phishing de varias etapas que aprovecha un documento de Word con macros supuestamente de Energoatom de Ucrania como señuelo para entregar el marco de post-explotación Havoc de código abierto.
«Sigue siendo muy probable que los servicios de inteligencia, militares y policiales rusos tengan un entendimiento tácito de larga data con los actores de amenazas cibernéticas», dijo la firma de ciberseguridad Recorded Future. dicho en un informe a principios de este año.
«En algunos casos, es casi seguro que estas agencias mantienen una relación establecida y sistemática con los actores de amenazas cibercriminales, ya sea mediante colaboración indirecta o mediante reclutamiento».