El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques cibernéticos dirigidos a las fuerzas de defensa del país con un malware llamado SPECTR como parte de una campaña de espionaje denominada SickSync.
La agencia atribuido Los ataques a un actor de amenazas los rastrea bajo el apodo UAC-0020, que también se llama Vermin y se considera que está asociado con las agencias de seguridad de la República Popular de Luhansk (LPR). LPR fue declarado un estado soberano por parte de Rusia días antes de su invasión militar de Ucrania en febrero de 2022.
Las cadenas de ataques comienzan con correos electrónicos de phishing que contienen un archivo RAR autoextraíble que contiene un archivo PDF señuelo, una versión troyanizada de la aplicación SyncThing que incorpora la carga útil SPECTR y un script por lotes que activa la infección iniciando el ejecutable.
SPECTR actúa como un ladrón de información al tomar capturas de pantalla cada 10 segundos, recolectar archivos, recopilar datos de unidades USB extraíbles y robar credenciales y de navegadores web y aplicaciones como Element, Signal, Skype y Telegram.
«Al mismo tiempo, para cargar documentos, archivos, contraseñas y otra información robados desde la computadora, se utilizó la funcionalidad de sincronización estándar del software legítimo SyncThing, que, entre otras cosas, admite el establecimiento de una conexión de igual a igual. entre computadoras», dijo CERT-UA.
SickSync marca el devolver del grupo Vermin después de una ausencia prolongada, que fue observada previamente orquestar campañas de phishing dirigido a organismos estatales de Ucrania para implementar el malware SPECTR en marzo de 2022. Se sabe que el actor ha utilizado SPECTR desde 2019.
Vermin es también el nombre asignado a un troyano de acceso remoto .NET utilizado por el actor de amenazas para atacar varias instituciones gubernamentales ucranianas durante casi ocho años. fue primero reportado públicamente por la Unidad 42 de Palo Alto Networks en enero de 2018, con una posterior análisis de ESET que rastrea la actividad del atacante hasta octubre de 2015.
La divulgación se produce cuando CERT-UA advirtió sobre ataques de ingeniería social que aprovechan la aplicación de mensajería instantánea Signal como vector de distribución para entregar un troyano de acceso remoto llamado DarkCrystal RAT (también conocido como DCRat). Se han vinculado a un grupo de actividades con nombre en código UAC-0200.
«Una vez más, observamos una tendencia hacia un aumento en la intensidad de los ciberataques utilizando mensajeros y cuentas legítimas comprometidas», dijo la agencia. dicho. «Al mismo tiempo, de una forma u otra, se anima a la víctima a abrir el archivo en el ordenador».
También sigue al descubrimiento de una campaña de malware realizada por piratas informáticos patrocinados por el estado bielorruso conocidos como GhostWriter (también conocido como UAC-0057 y UNC1151) que emplea documentos Microsoft Excel con trampas explosivas en ataques dirigidos al Ministerio de Defensa de Ucrania.
«Al ejecutar el documento de Excel, que contiene una macro VBA integrada, elimina un archivo de carga LNK y DLL», Symantec, propiedad de Broadcom dicho. «Posteriormente, la ejecución del archivo LNK inicia el cargador de DLL, lo que potencialmente conduce a una carga útil final sospechosa que incluye el Agente Tesla, las balizas Cobalt Strike y njRAT».
(La historia se actualizó después de la publicación para incluir la confirmación de ESET sobre las conexiones de UAC-0020 con Vermin RAT).