Los actores de amenazas rusos aprovecharon el conflicto en curso contra Ucrania para distribuir malware de Android camuflado como una aplicación para que los hacktivistas pro-ucranianos lanzaran ataques distribuidos de denegación de servicio (DDoS) contra sitios rusos.
Google Threat Analysis Group (TAG) atribuyó el malware a Turla, una amenaza persistente avanzada también conocida como Krypton, Venomous Bear, Waterbug y Uroburos, y vinculada al Servicio Federal de Seguridad (FSB) de Rusia.
«Esta es la primera instancia conocida de Turla distribuyendo malware relacionado con Android», dijo el investigador de TAG, Billy Leonard. dijo. «Las aplicaciones no se distribuyeron a través de Google Play Store, sino que se alojaron en un dominio controlado por el actor y se difundieron a través de enlaces en servicios de mensajería de terceros».
Vale la pena señalar que la avalancha de ataques cibernéticos inmediatamente después de la invasión no provocada de Rusia a Ucrania llevó a este último a formar un ejército de TI para organizar ataques contra DDoS contra sitios web rusos. El objetivo de la operación Turla, al parecer, es utilizar este esfuerzo voluntario para su propio beneficio.
los aplicación de señuelo estaba alojado en un dominio que se hacía pasar por el Regimiento Azovuna unidad de la Guardia Nacional de Ucrania, llamando a personas de todo el mundo a luchar contra la «agresión de Rusia» iniciando un ataque de denegación de servicio en los servidores web pertenecientes a «sitios web rusos para abrumar sus recursos».
Google TAG dijo que los actores se inspiraron en otra aplicación de Android distribuida a través de un sitio web llamado «stopwar[.]pro» que también está diseñado para realizar ataques DoS mediante el envío continuo de solicitudes a los sitios web de destino.
Dicho esto, la cantidad real de veces que se instaló la aplicación maliciosa Cyber Azov es minúscula, lo que no representa un impacto importante para los usuarios de Android.
Además, el grupo Sandworm (también conocido como Voodoo Bear) se ha conectado a un conjunto separado de actividades maliciosas que aprovechan la vulnerabilidad Follina (CVE-2022-30190) en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT) para enviar enlaces que apuntan a documentos de Microsoft Office alojados. en sitios web comprometidos dirigidos a entidades de medios en Ucrania.
UAC-0098, un actor de amenazas al que CERT-UA advirtió el mes pasado sobre la distribución de documentos con temas fiscales que contenían un exploit de Follina, también ha sido evaluado como un ex corredor de acceso inicial con vínculos con el grupo Conti a cargo de difundir el troyano bancario IcedID. .
Otros tipos de actividad cibernética incluyen ataques de phishing de credenciales montados por un adversario conocido como COLDRIVER (también conocido como Callisto) dirigidos a funcionarios gubernamentales y de defensa, políticos, ONG y grupos de expertos, y periodistas.
Estos implican el envío de correos electrónicos directamente, incluido el dominio de phishing, o que contienen enlaces a documentos alojados en Google Drive y Microsoft OneDrive que, a su vez, presentan enlaces a un sitio web controlado por atacantes diseñado para robar contraseñas.
Los últimos desarrollos son otra indicación de cómo los actores de amenazas rusos muestran signos continuos de sofisticación cada vez mayor en sus intentos de atacar de manera que resalten sus técnicas en evolución.