Un grupo de amenazas vinculado al actor del estado-nación ruso rastreado como Sandworm ha continuado apuntando a Ucrania con malware de productos básicos haciéndose pasar por proveedores de telecomunicaciones, según muestran nuevos hallazgos.
Recorded Future dijo que descubrió una nueva infraestructura perteneciente a UAC-0113 que imita a operadores como Datagroup y EuroTransTelecom para entregar cargas útiles como el cargador Colibri y RATA de zona de guerra.
Se dice que los ataques son una expansión del misma campaña que anteriormente distribuyó DCRat (o DarkCrystal RAT) utilizando correos electrónicos de phishing con señuelos relacionados con la asistencia legal contra proveedores de telecomunicaciones en Ucrania.
Sandworm es un destructivo grupo de amenazas ruso que es mejor conocido por llevar a cabo ataques como el de 2015 y 2016 dirigido a la red eléctrica ucraniana y los ataques NotPetya de 2017. Se confirma que es la Unidad 74455 de la agencia de inteligencia militar GRU de Rusia.
El colectivo adversario, también conocido como Voodoo Bear, intentó dañar subestaciones eléctricas de alto voltaje, computadoras y equipos de redes por tercera vez en Ucrania a principios de abril a través de una nueva variante de un malware conocido como Industroyer.
La invasión rusa de Ucrania también ha hecho que el grupo desate muchos otros ataques, incluido el aprovechamiento de la vulnerabilidad Follina (CVE-2022-30190) en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) para violar entidades de medios en la nación de Europa del Este.
Además, se descubrió que era el cerebro detrás de una nueva botnet modular llamada Cyclops Blink que esclavizaba los dispositivos de firewall y enrutadores conectados a Internet de WatchGuard y ASUS.
El gobierno de EE. UU., por su parte, ha anunciado hasta $10 millones en recompensas por información sobre seis piratas informáticos asociados al grupo APT por participar en actividades cibernéticas maliciosas contra infraestructura crítica del país.
“Una transición de DarkCrystal RAT a Colibri Loader y Warzone RAT demuestra el uso cada vez mayor pero continuo de UAC-0113 de malware básico disponible públicamente”, Recorded Future dijo.
Los ataques implican que los dominios fraudulentos alojan una página web supuestamente sobre la “Administración Militar Regional de Odesa”, mientras que una carga útil de imagen ISO codificada se implementa sigilosamente a través de una técnica conocida como contrabando de HTML.
El contrabando de HTML, como su nombre indica, es una técnica evasiva de entrega de malware que aprovecha las funciones legítimas de HTML y JavaScript para distribuir malware y eludir los controles de seguridad convencionales.
Recorded Future también dijo que identificó puntos de similitud con otro archivo adjunto de cuentagotas HTML utilizado por el actor de amenazas APT29 en una campaña dirigida a las misiones diplomáticas occidentales entre mayo y junio de 2022.
Incrustados en el archivo ISO, que se creó el 5 de agosto de 2022, hay tres archivos, incluido un archivo LNK que engaña a la víctima para que active la secuencia de infección, lo que resulta en la implementación del cargador Colibri y Warzone RAT en la máquina de destino.
La ejecución del archivo LNK también lanza un documento señuelo inocuo, una solicitud para que los ciudadanos ucranianos soliciten una compensación monetaria y descuentos en combustible, en un intento de ocultar las operaciones maliciosas.
About the Author
