Un grupo desconocido de amenazas persistentes avanzadas (APT) ha sido vinculado a una serie de ataques de phishing dirigidos a entidades gubernamentales rusas desde el inicio de la guerra ruso-ucraniana a fines de febrero de 2022.
«Las campañas […] están diseñados para implantar un troyano de acceso remoto (RAT) que se puede usar para vigilar las computadoras que infecta y ejecutar comandos en ellas de forma remota», dijo Malwarebytes dicho en un informe técnico publicado el martes.
La compañía de ciberseguridad atribuyó los ataques con poca confianza a un grupo de piratería chino, citando superposiciones de infraestructura entre el malware RAT y Sakula Rat utilizado por un actor de amenazas conocido como Deep Panda.
Las cadenas de ataque, aunque aprovecharon diferentes señuelos en el transcurso de dos meses, emplearon el mismo malware, salvo pequeñas diferencias en el código fuente.
Se dice que la campaña comenzó alrededor del 26 de febrero, días después de la invasión militar rusa de Ucrania, con los correos electrónicos que distribuyen la RAT bajo la apariencia de un mapa interactivo de Ucrania («interactive_map_UA.exe»).
El desarrollo demuestra una vez más las capacidades de los actores de amenazas para adaptar y ajustar sus ataques a los eventos mundiales, utilizando los señuelos más relevantes y actualizados para maximizar sus posibilidades de éxito.
Una segunda ola de ataques a principios de marzo se dirigió principalmente a RT TV controlada por el estado e implicó el uso de una solución de software no autorizada para la vulnerabilidad Log4Shell que apareció en los titulares a fines de 2021.
Además de incluir el parche en forma de archivo TAR comprimido, el mensaje de correo electrónico también venía con un documento PDF con instrucciones para instalar el parche y enumeraba las mejores prácticas de seguridad a seguir, incluida la activación de la autenticación de dos factores, el uso del antivirus Kaspersky y la abstención. de abrir o responder a correos electrónicos sospechosos.
En un nuevo intento de aumentar la autenticidad del correo electrónico, el documento también contenía una URL total de virus apuntando a un archivo no relacionado para dar la impresión de que el archivo de parche Log4j no es malicioso.
Además, el correo electrónico presentaba enlaces a un dominio controlado por el atacante «rostec[.]digital” junto con perfiles fraudulentos creados en Facebook e Instagram aludiendo al conglomerado de defensa ruso.
«Curiosamente, el actor de amenazas creó la página de Facebook en junio de 2021, nueve meses antes de que se usara en esta campaña», dijeron los investigadores. «Probablemente fue un intento de atraer seguidores, de hacer que la página pareciera más legítima, y sugiere que el grupo APT estaba planeando esta campaña mucho antes de la invasión de Ucrania».
La tercera iteración del ataque que siguió hizo uso de otro archivo ejecutable malicioso, esta vez «build_rosteh4.exe», en un intento de hacer pasar el malware como si fuera de Rostec.
Por último, a mediados de abril de 2022, los atacantes recurrieron a un cebo de phishing relacionado con el trabajo para Saudi Aramco, una compañía de petróleo y gas natural de Arabia Saudita, y el documento de Microsoft Word armado actuó como desencadenante de una secuencia de infección para implementar la RAT.
La carga útil de DLL emplea una variedad de trucos avanzados para frustrar el análisis, incluido el aplanamiento del flujo de control y la ofuscación de cadenas, al tiempo que incorpora funciones que le permiten enviar archivos arbitrarios desde un servidor remoto al host infectado y ejecutar instrucciones de línea de comandos.
Los hallazgos siguen de cerca los hallazgos de Check Point de que un colectivo adversario chino con conexiones con Stone Panda y Mustang Panda se dirigió a al menos dos institutos de investigación ubicados en Rusia con una puerta trasera no documentada anteriormente llamada Spinner.