Un grupo de piratas informáticos patrocinado por el estado con vínculos con Rusia ha sido vinculado a la infraestructura de ataque que falsifica la página de inicio de sesión de Microsoft de Global Ordnance, un proveedor legítimo de hardware y armas militares con sede en EE. UU.
Recorded Future atribuyó la nueva infraestructura a un grupo de actividad de amenazas que rastrea bajo el nombre ETIQUETA-53y es ampliamente conocido por la comunidad de ciberseguridad como Callisto, COLDRIVER, SEABORGIUM y TA446.
“Con base en informes públicos históricos sobre campañas TAG-53 superpuestas, es probable que esta actividad de recolección de credenciales esté habilitada en parte a través de phishing”, Insikt Group de Recorded Future dijo en un informe publicado esta semana.
La empresa de ciberseguridad dijo que descubrió 38 dominios, nueve de los cuales contenían referencias a empresas como UMO Polonia, Sangrail LTD, DTGruelle, Blue Sky Network, la Comisión para la Justicia Internacional y la Responsabilidad (CIJA) y el Ministerio del Interior de Rusia.
Se sospecha que los dominios temáticos son probablemente un intento por parte del adversario de hacerse pasar por partes auténticas en campañas de ingeniería social.
“En particular, ha surgido una tendencia consistente con respecto al uso de infraestructura específicamente diseñada por TAG-53 que destaca el uso a largo plazo de técnicas similares para sus campañas estratégicas”, dijeron los investigadores.
El desarrollo se produce casi cuatro meses después de que Microsoft revelara que tomó medidas para interrumpir los ataques de phishing y robo de credenciales montados por el grupo con el objetivo de violar las empresas de consultoría de defensa e inteligencia, así como las ONG, los grupos de expertos y las entidades de educación superior en el Reino Unido y los Estados Unidos
La empresa de seguridad empresarial Proofpoint ha criticado aún más al grupo por sus sofisticadas tácticas de suplantación de identidad para ofrecer enlaces de phishing no autorizados.
 |
| Términos utilizados en dominios vinculados TAG-53 |
Además, el actor de la amenaza se ha atribuido con poca confianza a un operación de spear-phishing apuntando a Ucrania Ministro de Defensa coincidiendo con el inicio de la invasión militar rusa del país a principios de marzo.
SEKOIA.IO, en un escritura separada, corroboró los hallazgos y descubrió un total de 87 dominios, dos de los cuales aluden a las empresas del sector privado Emcompass y BotGuard. También fueron atacadas cuatro ONG involucradas en el alivio de la crisis de Ucrania.
Uno de esos ataques involucró comunicaciones por correo electrónico entre la ONG y el atacante utilizando una dirección de correo electrónico falsificada que imitaba una fuente confiable, seguido del envío de un PDF malicioso que contenía un enlace de phishing en un intento de evadir la detección de las puertas de enlace de correo electrónico.
“El intercambio de correos electrónicos muestra que el atacante no incluyó la carga útil maliciosa en el primer correo electrónico, sino que esperó obtener una respuesta para construir una relación y evitar sospechas antes de enviar la carga útil a la víctima”, explicó la compañía de ciberseguridad.
El uso de dominios de ministerios rusos typosquatted agrega aún más peso a la evaluación de Microsoft de que SEABORGIUM apunta a ex funcionarios de inteligencia, expertos en asuntos rusos y ciudadanos rusos en el extranjero.
SEKOIA.IO también caracterizó el ataque a CIJA como una misión de recopilación de inteligencia diseñada para acumular “evidencia relacionada con crímenes de guerra y/o procedimientos de justicia internacional, que probablemente anticipen y construyan contranarrativas sobre futuras acusaciones”.
Las revelaciones llegan como firma de inteligencia de amenazas Lupovis reveló que los actores de amenazas rusos han comprometido las redes pertenecientes a varias empresas en el Reino Unido, EE. UU., Francia, Brasil, Sudáfrica y están “redireccionando a través de sus redes” para lanzar ataques contra Ucrania.
Microsoft, mientras tanto, ha prevenido de “ataque potencial ruso en el dominio digital en el transcurso de este invierno”, señalando el “enfoque de tecnología híbrida de múltiples frentes” de Moscú de realizar ataques cibernéticos contra la infraestructura civil y operaciones de influencia que buscan alimentar la discordia en Europa.