Una campaña en curso dirigida a los ministerios de asuntos exteriores de los países alineados con la OTAN apunta a la participación de actores de amenazas rusos.
Los ataques de phishing presentan documentos PDF con señuelos diplomáticos, algunos de los cuales están disfrazados como si provinieran de Alemania, para entregar una variante de un malware llamado Duqueque se ha atribuido a APT29 (también conocido como BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard y The Dukes).
«El actor de amenazas usó Zulip, una aplicación de chat de código abierto, para comando y control, para evadir y ocultar sus actividades detrás del tráfico web legítimo», dijo la empresa holandesa de ciberseguridad EclecticIQ. dicho en un análisis la semana pasada.
La secuencia de infección es la siguiente: el archivo PDF adjunto, denominado «Adiós al embajador de Alemania», viene incrustado con un código JavaScript que inicia un proceso de varias etapas para dejar una puerta trasera persistente en las redes comprometidas.
El uso de temas de invitación por parte de APT29 ha sido informado previamente por Lab52, que documentado un ataque que se hace pasar por la embajada noruega para entregar una carga útil de DLL que es capaz de contactar a un servidor remoto para obtener cargas útiles adicionales.
El uso del dominio «bahamas.gov[.]bs» en ambos conjuntos de intrusión solidifica aún más este vínculo. Los hallazgos también corroboran investigaciones previas del Centro de Inteligencia de Amenazas de Anheng liberado el mes pasado.
Si un objetivo potencial sucumbe a la trampa de phishing al abrir el archivo PDF, se lanza un gotero HTML malicioso llamado Invitation_Farewell_DE_EMB para ejecutar JavaScript que suelta un archivo ZIP que, a su vez, se empaqueta en un archivo de aplicación HTML (HTA) diseñado para implementar el software malicioso Duke.
El comando y control (C2) se facilita al hacer uso de la API de Zulip para enviar los detalles de la víctima a una sala de chat controlada por el actor (toyy.zulipchat[.]com), así como para controlar de forma remota los hosts comprometidos.
EclecticIQ dijo que identificó un segundo archivo PDF, probablemente utilizado por APT29 con fines de reconocimiento o de prueba.
«No contenía una carga útil, pero notificó al actor si una víctima abría el archivo adjunto del correo electrónico al recibir una notificación a través de un dominio comprometido edenparkweddings[.]com», dijeron los investigadores.
Vale la pena señalar que el abuso de Zulip es parte del curso con el grupo patrocinado por el estadoque tiene una trayectoria de apalancamiento una amplia gama de servicios de Internet legítimos como Google Drive, Microsoft OneDrive, Dropbox, Notion, Firebase y Trello para C2.
Los principales objetivos de APT29 son los gobiernos y los subcontratistas gubernamentales, las organizaciones políticas, las empresas de investigación y las industrias críticas en los EE. UU. y Europa. Pero en un giro interesante, se ha observado a un adversario desconocido. empleando sus tácticas para violar a los usuarios de habla china con Cobalt Strike.
El desarrollo se produce como el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) prevenido de un nuevo conjunto de ataques de phishing contra organizaciones estatales de Ucrania utilizando un Go-based kit de herramientas de post-explotación de código abierto llamado Esmerejón. La actividad está siendo rastreada bajo el alias UAC-0154.
El país devastado por la guerra también ha enfrentado ataques cibernéticos sostenidos de Sandworm, una unidad de piratería de élite afiliada a la inteligencia militar rusa, cuyo objetivo principal es interrumpir operaciones críticas y recopilar inteligencia para obtener una ventaja estratégica.
Según un informe reciente del Servicio de Seguridad de Ucrania (SBU), se dice que el actor de amenazas intentó sin éxito obtener acceso no autorizado a tabletas android en posesión del personal militar ucraniano para planificar y realizar misiones de combate.
«La captura de dispositivos en el campo de batalla, su examen detallado y el uso del acceso disponible y el software se convirtieron en el vector principal para el acceso inicial y la distribución de malware», dijo la agencia de seguridad. dicho.
Algunas de las cepas de malware incluyen NETD para garantizar la persistencia, DROPBEAR para establecer acceso remoto, STL para recopilar datos del sistema satelital Starlink, DEBLIND para exfiltrar datos, el Mirai malware de red de bots. También se utiliza en los ataques un servicio oculto TOR para acceder al dispositivo en la red local a través de Internet.