Los actores rusos de amenaza cibernética han sido atribuido a una campaña patrocinada por el estado dirigida a entidades de logística occidental y compañías de tecnología desde 2022.
Se ha evaluado que la actividad está orquestada por APT28 (también conocido como BlueDelta, Fancy Bear o Forest Blizzard), que está vinculado al Centro de Servicio Especial Principal de la Dirección de Inteligencia del Estado Mayor General de Rusia (GRU) 85, Unidad Militar 26165.
Los objetivos de la campaña incluyen compañías involucradas en la coordinación, el transporte y la entrega de asistencia extranjera a Ucrania, según un aviso conjunto publicado por agencias de Australia, Canadá, Checia, Dinamarca, Estonia, Francia, Alemania, Países Bajos, Polonia, el Reino Unido y los Estados Unidos.
“Esta campaña orientada al ciberdemográfico dirigida a entidades de logística y empresas de tecnología utiliza una combinación de TTP revelados previamente y probablemente está conectado a la orientación a gran escala de estos actores de las cámaras IP en Ucrania y limitando a las naciones de la OTAN”, el boletín “, el boletín dicho.
La alerta se produce semanas después de que el Ministerio de Relaciones Exteriores de Francia acusó a APT28 de crecientes ataques cibernéticos en una docena de entidades, incluidos ministerios, empresas de defensa, entidades de investigación y think tanks desde 2021 en un intento de desestabilizar la nación.
Luego, la semana pasada, ESET retiró las envolturas de una campaña doblada Operation RoundPress que, según dijo, ha estado en curso desde 2023 al explotar las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) en varios servicios de correo web como RoundCube, Horde, Mdaemon y Zimbra para las empresas gubernamentales y las compañías de defensa en el este de Europa, así como las gobiernos en África, Europa y América del Sur. Y América del Sur.
Según el último aviso, se dice que los ataques cibernéticos orquestados por APT28 involucraron una combinación de pulverización de contraseñas, phishing de lanza y modificación de permisos de buzón de Microsoft Exchange para fines de espionaje.
Los objetivos principales de la campaña incluyen organizaciones dentro de los Estados miembros de la OTAN y Ucrania que abarca la defensa, el transporte, el marítimo, la gestión del tráfico aéreo y los servicios de TI. Se estima que no menos de docenas de entidades en Bulgaria, Checia, Francia, Alemania, Grecia, Italia, Moldavia, Países Bajos, Polonia, Rumania, Eslovaquia, Ucrania y Estados Unidos.
Se dice que el acceso inicial a las redes específicas se facilitó aprovechando siete métodos diferentes –
- Ataques de fuerza bruta para adivinar credenciales
- Ataques de phishing de lanza para cosechar credenciales utilizando páginas de inicio de sesión falsas que se hacen pasar por agencias gubernamentales y proveedores de correo electrónico de la nube occidental que fueron alojados en servicios de terceros gratuitos o dispositivos SOHO comprometidos
- Ataques de phishing de lanza para entregar malware
- Explotación de la vulnerabilidad de Outlook NTLM (CVE-2023-23397)
- Explotación de vulnerabilidades de RoundCube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Explotación de infraestructura orientada a Internet, como VPN corporativas, utilizando vulnerabilidades públicas e inyección de SQL
- Explotación de la vulnerabilidad de Winrar (CVE-2023-38831)
Una vez que los actores de la Unidad 26165 se establecen un punto de apoyo utilizando uno de los métodos anteriores, los ataques proceden a la fase posterior a la explotación, que implica realizar un reconocimiento para identificar objetivos adicionales en posiciones clave, individuos responsables de coordinar el transporte y otras compañías que cooperan con la entidad víctima.
Los atacantes también se han observado utilizando herramientas como Impacket, PSEXEC y Protocolo de escritorio remoto (RDP) para el movimiento lateral, así como Certipy y Adexplorer.exe para exfiltrar la información del Active Directory.
“Los actores tomarían medidas para localizar y exfiltrar listas de usuarios de Office 365 y configurar una colección de correo electrónico sostenida”, señalaron las agencias. “Los actores utilizaron la manipulación de los permisos de buzón para establecer una colección de correo electrónico sostenida en entidades logísticas comprometidas”.
Otro rasgo notable de las intrusiones es el uso de familias de malware como Headlace y Masepie, para establecer la persistencia en los anfitriones comprometidos y la información sensible a la cosecha. No hay evidencia de que las variantes de malware como OceanMap y Steelhook se hayan utilizado para dirigir directamente a los sectores de logística o TI.
Durante la exfiltración de datos, los actores de amenaza se han basado en diferentes métodos basados en el entorno de las víctimas, a menudo utilizando comandos de PowerShell para crear archivos postales para cargar los datos recopilados a sus propias infraestructura, o emplear servicios web de Exchange (EWS) y Protocolo de mensajes de acceso a Internet (IMAP) para enviar información de los servidores de correo electrónico.
“A medida que las fuerzas militares rusas no cumplieron con sus objetivos militares y los países occidentales brindaron ayuda para apoyar a la defensa territorial de Ucrania, la Unidad 26165 amplió su orientación a entidades logísticas y compañías de tecnología involucradas en la entrega de ayuda”, dijeron las agencias. “Estos actores también se han dirigido a cámaras conectadas a Internet en los cruces fronterizos ucranianos para monitorear y rastrear los envíos de ayuda”.
La divulgación se produce cuando Cato Networks reveló que los presuntos actores de amenazas rusas están aprovechando el almacenamiento de objetos de Tigris, el almacenamiento de objetos de Oracle Cloud Infrastructure (OCI) y el almacenamiento de objetos de escamas para alojar páginas falsas de Recaptcha que utilizan señuelos de estilo ClickFix para engañar a los usuarios en la descarga de Lumma Stealer.
“La reciente campaña que aprovecha el almacenamiento de objetos de Tigris, el almacenamiento de objetos OCI y el almacenamiento de objetos de escamas se basa en métodos anteriores, introduciendo nuevos mecanismos de entrega destinados a evadir la detección y dirigirse a usuarios técnicamente competentes”, investigadores Guile Domingo, Guy Waizel y Tomer Agayev dicho.
About the Author
