En lo que se describe como un giro “sin precedentes”, los operadores del malware TrickBot han recurrido a atacar sistem\u00e1ticamente a Ucrania desde el inicio de la guerra a finales de febrero de 2022.<\/p>\n
Se cree que el grupo orquest\u00f3 al menos seis campa\u00f1as de phishing dirigidas a objetivos que se alinean con los intereses del estado ruso, y los correos electr\u00f3nicos act\u00faan como se\u00f1uelos para entregar software malicioso como IcedID, CobaltStrike, AnchorMail y Meterpreter<\/a>.<\/p>\n Rastreada con los nombres ITG23, Gold Blackburn y Wizard Spider, la pandilla de ciberdelincuencia con motivaciones financieras es conocida por su desarrollo del troyano bancario TrickBot y se incluy\u00f3 en el c\u00e1rtel de ransomware Conti, ahora descontinuado, a principios de este a\u00f1o.<\/p>\n Pero solo unas semanas despu\u00e9s, los actores asociados con el grupo resurgieron con una versi\u00f3n renovada del AnchorDNS<\/a> puerta trasera llamada AnchorMail que usa protocolos SMTPS e IMAP para comunicaciones de comando y control.<\/p>\n “Las campa\u00f1as de ITG23 contra Ucrania son notables debido a la medida en que esta actividad difiere del precedente hist\u00f3rico y al hecho de que estas campa\u00f1as parec\u00edan dirigidas espec\u00edficamente a Ucrania con algunas cargas \u00fatiles que sugieren un mayor grado de selecci\u00f3n de objetivos”, dijo Ole, analista de IBM Security X-Force. Villadsen dijo<\/a> en un informe t\u00e9cnico.<\/p>\n Un cambio notable en las campa\u00f1as implica el uso de descargadores de Microsoft Excel nunca antes vistos y la implementaci\u00f3n de CobaltStrike, Meterpreter y AnchorMail como cargas \u00fatiles de primera etapa. Se dice que los ataques comenzaron a mediados de abril de 2022.<\/p>\n Curiosamente, el actor de amenazas aprovech\u00f3 el espectro de la guerra nuclear en su enga\u00f1o de correo electr\u00f3nico para difundir el implante AnchorMail, una t\u00e1ctica que ser\u00eda repetida por el grupo de estado-naci\u00f3n ruso rastreado como APT28 dos meses despu\u00e9s para difundir malware de robo de datos en Ucrania.<\/p>\n Adem\u00e1s, la muestra de Cobalt Strike implementada como parte de una campa\u00f1a de mayo de 2022 utiliz\u00f3 un nuevo encriptador denominado Forest para evadir la detecci\u00f3n, el \u00faltimo de los cuales tambi\u00e9n se ha utilizado junto con el malware Bumblebee, dando cr\u00e9dito a las teor\u00edas de que el cargador est\u00e1 siendo operado. por la pandilla TrickBot.<\/p>\n “Las divisiones ideol\u00f3gicas y las lealtades se han vuelto cada vez m\u00e1s evidentes dentro del ecosistema ciberdelincuente de habla rusa este a\u00f1o”, se\u00f1al\u00f3 Villadsen. “Estas campa\u00f1as proporcionan evidencia de que Ucrania est\u00e1 en la mira de destacados grupos ciberdelincuentes rusos”.<\/p>\n El desarrollo se produce cuando los medios de comunicaci\u00f3n ucranianos han sido dirigido<\/a> con mensajes de phishing<\/a> que contiene documentos con malware que explotan la vulnerabilidad de Follina para colocar DarkCrystal RAT en sistemas comprometidos.<\/p>\n El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) tambi\u00e9n ha prevenido<\/a> de intrusiones realizadas por un grupo llamado UAC-0056 que involucra organizaciones estatales en huelga con se\u00f1uelos con temas de personal para arrojar Cobalt Strike Beacons sobre los anfitriones.<\/p>\n La agencia, el mes pasado, prosigui\u00f3 se\u00f1al\u00f3<\/a> el uso del armamento Royal Road RTF por parte de un actor con sede en China cuyo nombre en c\u00f3digo es Equipo Tonto<\/a> (tambi\u00e9n conocido como Karma Panda) para apuntar a empresas cient\u00edficas y t\u00e9cnicas y organismos estatales ubicados en Rusia con el Malware bisonal<\/a>.<\/p>\n Atribuyendo estos ataques con confianza media al grupo de amenazas persistentes avanzadas (APT), SentinelOne dijo<\/a> los resultados demostrar<\/a> “un esfuerzo continuo” por parte del aparato de inteligencia chino para apuntar a una amplia gama de organizaciones vinculadas a Rusia.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n