Hackers de élite asociados con Servicio de inteligencia militar de Rusia se han vinculado a campañas de phishing de gran volumen dirigidas a cientos de usuarios en Ucrania para extraer inteligencia e influir en el discurso público relacionado con la guerra.
Grupo de análisis de amenazas (TAG) de Google, que es supervisión las actividades del actor bajo el nombre de FROZENLAKE, dijo que los ataques continúan con el «enfoque del grupo para 2022 de apuntar a los usuarios de correo web en Europa del Este».
El actor cibernético patrocinado por el estado, también rastreado como APT28, Fancy Bear, Forest Blizzard, Iron Twilight, Sednit y Sofacy, es muy activo y competente. Ha estado activo desde al menos 2009, apuntando a medios, gobiernos y entidades militares para el espionaje.
El último conjunto de intrusiones, que comenzó a principios de febrero de 2023, implicó el uso de secuencias de comandos entre sitios reflejadas (XSS) ataques a varios sitios web del gobierno ucraniano para redirigir a los usuarios a dominios de phishing y capturar sus credenciales.
La divulgación se produce cuando las agencias de inteligencia y aplicación de la ley del Reino Unido y los EE. UU. publicaron una advertencia conjunta sobre los ataques de APT28 que explotan una vulnerabilidad antigua y conocida en los enrutadores de Cisco para implementar malware conocido como Jaguar Tooth.
FROZENLAKE está lejos de ser el único actor centrado en Ucrania desde la invasión militar del país por parte de Rusia hace más de un año. Otro colectivo adversario notable es FROZENBARENTS, también conocido como Sandworm, Seashell Blizzard (née Iridium) o Voodoo Bear, que se ha comprometido en un esfuerzo sostenido para apuntar a organizaciones afiliadas al Caspian Pipeline Consortium (CPC) y otras entidades del sector energético en Europa del Este.
Ambos grupos se han atribuido a la Dirección Principal de Inteligencia del Estado Mayor (GRU), con APT28 vinculado a la unidad de inteligencia militar 26165 del Centro de Servicios Especiales 85 (GTsSS). Sandworm, por otro lado, se cree que es parte de la Unidad 74455 de GRU.
La campaña de recolección de credenciales se dirigió a los empleados de CPC con enlaces de phishing enviados a través de SMS. Los ataques contra la vertical de energía distribuyeron enlaces a paquetes de actualización de Windows falsos que finalmente ejecutaron un ladrón de información conocido como Rhadamanthys para extraer contraseñas y cookies del navegador.
FROZENBARENTS, apodado el «actor cibernético GRU más versátil», también ha sido observado lanzando ataques de phishing de credenciales dirigidos a la industria de defensa ucraniana, el ejército y los usuarios de correo web de Ukr.net a partir de principios de diciembre de 2022.
Se dice que el actor de amenazas creó más personas en línea en YouTube, Telegram e Instagram para difundir narrativas pro-rusas, filtrar datos robados de organizaciones comprometidas y publicar objetivos para ataques distribuidos de denegación de servicio (DDoS).
Defiéndase con el engaño: avanzando en la seguridad de confianza cero
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«FROZENBARENTS se ha dirigido a usuarios asociados con canales populares en Telegram», dijo el investigador de TAG, Billy Leonard. «Las campañas de phishing enviadas por correo electrónico y SMS falsificaron a Telegram para robar credenciales, a veces dirigidas a usuarios que siguen canales prorrusos».
Un tercer actor de amenazas de interés es PUSHCHA (también conocido como Ghostwriter o UNC1151), un grupo respaldado por el gobierno bielorruso que se sabe que actúa en nombre de los intereses rusos y que llevó a cabo ataques de phishing dirigidos a proveedores de correo web ucranianos como i.ua y meta. ua para desviar las credenciales.
Por último, Google TAG también destacó un conjunto de ataques montados por el grupo detrás del ransomware Cuba para implementar RATA RomCom en el gobierno ucraniano y las redes militares.
«Esto representa un gran cambio de las operaciones de ransomware tradicionales de este actor, comportándose de manera más similar a un actor que realiza operaciones para la recopilación de inteligencia», señaló Leonard.
El desarrollo también sigue a una nueva alerta del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido sobre amenazas emergentes a organizaciones críticas de infraestructura nacional de grupos alineados con el estado, particularmente aquellos que son «simpatizantes» de La invasión de Rusia a Ucrania.
«Estos grupos no están motivados por ganancias financieras ni están sujetos al control del estado, por lo que sus acciones pueden ser menos predecibles y sus objetivos pueden ser más amplios que los actores tradicionales del ciberdelito», dijo la agencia. dicho.