Las entidades gubernamentales en Ucrania han sido violadas como parte de una nueva campaña que aprovechó las versiones troyanizadas de los archivos de instalación de Windows 10 para realizar actividades posteriores a la explotación.
Mandiant, que descubrió el ataque a la cadena de suministro a mediados de julio de 2022, dijo que los archivos ISO maliciosos se distribuyeron a través de sitios web de Torrent en ucraniano y ruso. Está rastreando el grupo de amenazas como UNC4166.
«Tras la instalación del software comprometido, el malware recopila información sobre el sistema comprometido y lo extrae», dice la compañía de ciberseguridad. dijo en una inmersión técnica profunda publicada el jueves.
Aunque se desconoce la procedencia del colectivo adversario, se dice que las intrusiones se dirigieron a organizaciones que anteriormente fueron víctimas de ataques disruptivos de limpiaparabrisas atribuidos a APT28, un actor patrocinado por el estado ruso.
El archivo ISO, según la firma de inteligencia de amenazas propiedad de Google, fue diseñado para deshabilitar la transmisión de datos de telemetría desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, así como bloquear actualizaciones automáticas y verificación de licencia.
El objetivo principal de la operación parece haber sido la recopilación de información, con implantes adicionales desplegados en las máquinas, pero solo después de realizar un reconocimiento inicial del entorno comprometido para determinar si contiene la inteligencia de valor.
Estos incluidos Polizónuna herramienta proxy de código abierto, Cobalt Strike Beacon y SPAREPART, una puerta trasera liviana programada en C, que permite al actor de amenazas ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la información a un servidor remoto.
En algunos casos, el adversario intentó descargar el navegador de anonimato TOR en el dispositivo de la víctima. Si bien la razón exacta de esta acción no está clara, se sospecha que pudo haber servido como una ruta de exfiltración alternativa.
SPAREPART, como su nombre lo indica, se considera un malware redundante implementado para mantener el acceso remoto al sistema en caso de que los otros métodos fallen. También es funcionalmente idéntico a las puertas traseras de PowerShell lanzadas al principio de la cadena de ataque.
«El uso de ISO con troyanos es novedoso en las operaciones de espionaje y las capacidades anti-detección incluidas indican que los actores detrás de esta actividad son conscientes de la seguridad y pacientes, ya que la operación habría requerido un tiempo y recursos significativos para desarrollar y esperar a que el ISO sea instalado en una red de interés», dijo Mandiant.
Cloud Atlas ataca a Rusia y Bielorrusia
Los hallazgos vienen como punto de control y Tecnologías positivas ataques revelados organizados por un grupo de espionaje denominado Atlas de nubes contra el sector gubernamental en Rusia, Bielorrusia, Azerbaiyán, Turquía y Eslovenia como parte de una campaña persistente.
El equipo de piratería, activo desde 2014, tiene un historial de ataques a entidades en Europa del Este y Asia Central. Pero desde el estallido de la guerra ruso-ucraniana, se ha observado que se dirige principalmente a entidades en Rusia, Bielorrusia y Transnistria.
«Los actores también mantienen su enfoque en las regiones de la Península de Crimea, Lugansk y Donetsk anexadas por Rusia», dijo Check Point en un análisis la semana pasada.
Atlas de nubestambién llamado Clean Ursa, Inception y Oxygen, permanece sin atribuir hasta la fecha, uniéndose a otros APT como TajMahal, DarkUniverse y Metador. El grupo recibe su nombre por su dependencia de los servicios en la nube como OpenDrive para alojar malware y para comando y control (C2).
Las cadenas de ataque orquestadas por el adversario generalmente utilizan correos electrónicos de phishing que contienen archivos adjuntos de señuelos como el vector de intrusión inicial, lo que finalmente conduce a la entrega de una carga útil maliciosa a través de una intrincada secuencia de varias etapas.
Luego, el malware procede a iniciar el contacto con un servidor C2 controlado por un actor para recuperar puertas traseras adicionales capaces de robar archivos con extensiones específicas de los puntos finales violados.
Los ataques observados por Check Point, por otro lado, culminan en una puerta trasera basada en PowerShell llamada PowerShower, que fue documentado por primera vez por Palo Alto Networks Unit 42 en noviembre de 2018.
Algunas de estas intrusiones en junio de 2022 también resultaron ser exitosas, lo que permitió al actor de amenazas obtener acceso total a la red y usar herramientas como Chocolatey, AnyDesk y PuTTY para profundizar su posición.
«Con la escalada del conflicto entre Rusia y Ucrania, su atención durante el último año ha estado en Rusia y Bielorrusia y sus sectores diplomático, gubernamental, energético y tecnológico, y en las regiones anexadas de Ucrania», agregó Check Point.