Una amplia gama de actores de amenazas, incluidos Fancy Bear, Ghostwriter y Mustang Panda, han lanzado campañas de phishing contra Ucrania, Polonia y otras entidades europeas en medio de la invasión rusa de Ucrania.
El Grupo de Análisis de Amenazas (TAG) de Google dijo que eliminó dos dominios de Blogspot que fueron utilizados por el grupo de estado-nación FancyBear (también conocido como APT28), que se atribuye a la inteligencia militar GRU de Rusia, como página de inicio para sus ataques de ingeniería social.
La divulgación llega inmediatamente después de un aviso del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) que advierte sobre campañas de phishing dirigidas a usuarios de Ukr.net que implican el envío de mensajes desde cuentas comprometidas que contienen enlaces a páginas de recolección de credenciales controladas por atacantes.
Otro grupo de actividades de amenazas se refiere a los usuarios de correo web de Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua e i.ua, que han estado en el extremo receptor de los ataques de phishing por parte de un actor de amenazas bielorruso rastreado como escritor fantasma (también conocido como UNC1151).
El grupo de piratería también “realizó campañas de phishing de credenciales durante la semana pasada contra organizaciones gubernamentales y militares de Polonia y Ucrania”, dijo Shane Huntley, director de Google TAG, dijo en un informe
Pero no son solo Rusia y Bielorrusia quienes han puesto sus ojos en Ucrania y Europa. En la mezcla se incluye un actor de amenazas con sede en China conocido como Mustang Panda (también conocido como TA416 o RedDelta) que intenta plantar malware en “entidades europeas específicas con señuelos relacionados con la invasión de Ucrania”.
Los hallazgos también fueron corroborados por separado por la firma de seguridad empresarial Proofpoint, que detallado una campaña TA416 de varios años contra entidades diplomáticas en Europa que comenzó a principios de noviembre de 2021, contando con un “individuo involucrado en servicios para refugiados y migrantes” el 28 de febrero de 2022.
La secuencia de infección consistía en incrustar una URL maliciosa en un mensaje de phishing utilizando una dirección de correo electrónico comprometida de un diplomático de un país europeo de la OTAN, que, al hacer clic, entregaba un archivo que incorporaba un cuentagotas que, a su vez, descargaba un documento señuelo para recuperar el Malware PlugX en etapa final.
Las revelaciones se producen como una avalancha de ataques distribuidos de denegación de servicio (DDoS) que han afectado a numerosos sitios de Ucrania, como los asociados con el Ministerio de Defensa, Asuntos Exteriores, Asuntos Internos y servicios como Liveuamap.
“Los piratas informáticos rusos siguen atacando los recursos de información de Ucrania sin parar”, el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) dijo en un tweet durante el fin de semana.
“La más poderosa [DDoS] los ataques superaron los 100 Gbps en su punto máximo. A pesar de todos los recursos del enemigo involucrado, los sitios de los organismos gubernamentales centrales están disponibles”.
En un desarrollo relacionado, el colectivo de hackers anónimos reclamado que eliminó el sitio web del Servicio Federal de Seguridad de Rusia y que interrumpió las transmisiones en vivo de varios canales de televisión rusos y servicios de transmisión como Wink, Ivi, Russia 24, Channel One y Moscow 24 para transmitir imágenes de guerra desde Ucrania.
La ola de contraataques contra Rusia ha sido galvanizado por la formación de un Ejército de TI, una iniciativa del gobierno ucraniano de colaboración abierta que se basa en la guerra digital para interrumpir los objetivos militares y del gobierno ruso.
El desarrollo también sigue a la decisión de Rusia de prohibir Facebook y estrangular otras plataformas de redes sociales ampliamente utilizadas en el país justo cuando las empresas de tecnología de los EE. UU. han tomado medidas para romper los lazos con Rusia, efectivamente creando una cortina de hierro y restringir el acceso en línea.