El actor ruso que amenaza al Estado-nación conocido como APT28 Se ha observado que hace uso de señuelos relacionados con la actual guerra entre Israel y Hamas para facilitar la entrega de una puerta trasera personalizada llamada HeadLace.
IBM X-Force está rastreando al adversario bajo el nombre ITG05, que también se conoce como BlueDelta, Fancy Bear, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Sednit, Sofacy y TA422.
«La campaña recién descubierta está dirigida contra objetivos ubicados en al menos 13 países de todo el mundo y aprovecha documentos auténticos creados por centros académicos, financieros y diplomáticos», afirman los investigadores de seguridad Golo Mühr, Claire Zaboeva y Joe Fasulo. dicho.
«La infraestructura de ITG05 garantiza que sólo los objetivos de un país específico puedan recibir el malware, lo que indica la naturaleza altamente dirigida de la campaña».
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
Los objetivos de la campaña incluyen Hungría, Türkiye, Australia, Polonia, Bélgica, Ucrania, Alemania, Azerbaiyán, Arabia Saudita, Kazajstán, Italia, Letonia y Rumania.
La campaña implica el uso de señuelos diseñados principalmente para señalar a entidades europeas con una «influencia directa en la asignación de ayuda humanitaria», aprovechando documentos asociados con las Naciones Unidas, el Banco de Israel, el Servicio de Investigación del Congreso de EE.UU., el Banco Europeo Parlamento, un grupo de expertos ucraniano y una Comisión Intergubernamental Azerbaiyán-Bielorrusia.
Se ha descubierto que algunos de los ataques emplean archivos RAR que explotan la falla WinRAR llamada CVE-2023-38831 para propagar HeadLace, una puerta trasera que fue revelada por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en ataques dirigidos a infraestructuras críticas. en el país.
Vale la pena señalar que Zscaler reveló una campaña similar llamada Steal-It a fines de septiembre de 2023 que atraía a objetivos con contenido de temática para adultos para engañarlos y obligarlos a compartir información confidencial.
La divulgación se produce una semana después de que Microsoft, Palo Alto Networks Unit 42 y Proofpoint detallaran la explotación por parte del actor de amenazas de una falla de seguridad crítica de Microsoft Outlook (CVE-2023-23397, puntuación CVSS: 9.8) para obtener acceso no autorizado a las cuentas de las víctimas dentro de Servidores de intercambio.
Por lo tanto, la dependencia de documentos oficiales como señuelo marca una desviación de la actividad observada anteriormente, «lo que indica el mayor énfasis del ITG05 en una audiencia objetivo única cuyos intereses impulsarían la interacción con material que impacta la creación de políticas emergentes».
«Es muy probable que el compromiso de cualquier escalón de los centros de política exterior global pueda ayudar a los intereses de los funcionarios con una visión avanzada de las dinámicas críticas que rodean el enfoque de la Comunidad Internacional (CI) respecto de las prioridades en competencia para la seguridad y la asistencia humanitaria», dijeron los investigadores.
El desarrollo surge como CERT-UA. vinculado el actor de amenazas conocido como UAC-0050 a un ataque masivo de phishing basado en correo electrónico contra Ucrania y Polonia utilizando Remcos RAT y Meduza Stealer.