La amenaza persistente avanzada conocida como invierno viverno<\/strong> se ha vinculado a campa\u00f1as dirigidas a funcionarios gubernamentales en India, Lituania, Eslovaquia y el Vaticano desde 2021.<\/p>\n La actividad se dirigi\u00f3 a las agencias del gobierno polaco, el Ministerio de Relaciones Exteriores de Ucrania, el Ministerio de Relaciones Exteriores de Italia y personas dentro del gobierno indio, dijo SentinelOne en un informe compartido con The Hacker News.<\/p>\n “De particular inter\u00e9s es el objetivo de la APT de empresas privadas, incluidas las organizaciones de telecomunicaciones que apoyan a Ucrania en la guerra en curso”, dijo el investigador principal de amenazas Tom Hegel. dicho<\/a>.<\/p>\n Winter Vivern, tambi\u00e9n rastreado como UAC-0114, llam\u00f3 la atenci\u00f3n el mes pasado despu\u00e9s de que el Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) detallara una nueva campa\u00f1a de malware dirigida a las autoridades estatales de Ucrania y Polonia para entregar una pieza de malware denominada Aperetif.<\/p>\n Informes p\u00fablicos anteriores sobre el grupo muestran que ha aprovechado documentos de Microsoft Excel armados que contienen macros XLM para implementar implantes de PowerShell en hosts comprometidos.<\/p>\n Si bien se desconocen los or\u00edgenes del actor de amenazas, los patrones de ataque sugieren que el grupo est\u00e1 alineado con objetivos que respaldan los intereses de los gobiernos de Bielorrusia y Rusia.<\/p>\n UAC-0114 ha empleado una variedad de m\u00e9todos, que van desde sitios web de phishing hasta documentos maliciosos, que se adaptan a la organizaci\u00f3n objetivo para distribuir sus cargas \u00fatiles personalizadas y obtener acceso no autorizado a sistemas confidenciales.<\/p>\n En una serie de ataques observados a mediados de 2022, Winter Vivern configur\u00f3 p\u00e1ginas web de phishing de credenciales para atraer a los usuarios del servicio de correo electr\u00f3nico leg\u00edtimo del gobierno indio email.gov[.]en.<\/p>\n Las cadenas de ataque t\u00edpicas implican el uso de secuencias de comandos por lotes que se hacen pasar por detectores de virus para desencadenar la implementaci\u00f3n del troyano Aperetif desde la infraestructura controlada por actores, como los sitios de WordPress comprometidos.<\/p>\n Aperetif, un malware basado en Visual C++, viene con funciones para recopilar datos de las v\u00edctimas, mantener el acceso de puerta trasera y recuperar cargas \u00fatiles adicionales del servidor de comando y control (C2).<\/p>\n “El Winter Vivern APT es un grupo de recursos limitados pero muy creativo que muestra moderaci\u00f3n en el alcance de sus ataques”, dijo Hegel.<\/p>\n “Su capacidad para atraer objetivos a los ataques y su orientaci\u00f3n a gobiernos y empresas privadas de alto valor demuestran el nivel de sofisticaci\u00f3n y la intenci\u00f3n estrat\u00e9gica en sus operaciones”.<\/p>\n Si bien Winter Vivern pudo haber logrado evadir la atenci\u00f3n del p\u00fablico durante largos per\u00edodos de tiempo, un grupo que no est\u00e1 demasiado preocupado por permanecer bajo el radar es Nobelium, que comparte superposiciones con APT29 (tambi\u00e9n conocido como BlueBravo, Cozy Bear o The Dukes).<\/p>\n El grupo de estado-naci\u00f3n respaldado por el Kremlin, conocido por el compromiso de la cadena de suministro de SolarWinds en diciembre de 2020, ha seguido evolucionando su conjunto de herramientas, desarrollando nuevo malware personalizado como MagicWeb y GraphicalNeutrino.<\/p>\n Tambi\u00e9n se ha atribuido a otra campa\u00f1a de phishing dirigida contra entidades diplom\u00e1ticas en la Uni\u00f3n Europea, con \u00e9nfasis espec\u00edfico en agencias que “ayudan a los ciudadanos ucranianos que huyen del pa\u00eds y brindan ayuda al gobierno de Ucrania”.<\/p>\n “Nobelium recopila activamente informaci\u00f3n de inteligencia sobre los pa\u00edses que apoyan a Ucrania en la guerra Rusia-Ucrania”, BlackBerry dicho<\/a>. “Los actores de amenazas siguen cuidadosamente los eventos geopol\u00edticos y los utilizan para aumentar su posibilidad de una infecci\u00f3n exitosa”.<\/p>\n Los correos electr\u00f3nicos de phishing, detectados por el equipo de investigaci\u00f3n e inteligencia de la compa\u00f1\u00eda, contienen un documento armado que incluye un enlace que apunta a un archivo HTML.<\/p>\n Descubra los peligros ocultos de las aplicaciones SaaS de terceros<\/p>\n \u00bfConoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? \u00danase a nuestro seminario web para conocer los tipos de permisos que se otorgan y c\u00f3mo minimizar el riesgo.<\/p>\n RESERVA TU ASIENTO<\/a><\/div>\n Las URL armadas, alojadas en un sitio web leg\u00edtimo de biblioteca en l\u00ednea con sede en El Salvador, presentan se\u00f1uelos relacionados con LegisWrite y eTrustEx, los cuales son utilizados por las naciones de la UE para el intercambio seguro de documentos.<\/p>\n El gotero HTML (llamado ROOTSAW o EnvyScout) entregado en la campa\u00f1a incorpora una imagen ISO que, a su vez, est\u00e1 dise\u00f1ada para lanzar una biblioteca de enlaces din\u00e1micos (DLL) maliciosa que facilita la entrega de un malware de pr\u00f3xima etapa a trav\u00e9s de las API de Notion.<\/p>\n El uso de Notion, una popular aplicaci\u00f3n para tomar notas, para comunicaciones C2 fue revelado previamente por Recorded Future en enero de 2023. Vale la pena se\u00f1alar que APT29 ha empleado varios servicios en l\u00ednea como Dropbox, Google Drive, Firebase y Trello<\/a> en un intento de evadir la detecci\u00f3n.<\/p>\n “Nobelium se mantiene muy activo, ejecutando m\u00faltiples campa\u00f1as en paralelo dirigidas a organizaciones gubernamentales, organizaciones no gubernamentales (ONG), organizaciones intergubernamentales (IGO) y grupos de expertos en los EE. UU., Europa y Asia Central”, Microsoft fijado<\/a> el mes pasado.<\/p>\n Los hallazgos tambi\u00e9n se producen cuando la empresa de seguridad empresarial Proofpoint revel\u00f3 agresivas campa\u00f1as de correo electr\u00f3nico orquestadas por un actor de amenazas alineado con Rusia llamado TA499 (tambi\u00e9n conocido como Lexus y Vovan) desde principios de 2021 para enga\u00f1ar a los objetivos para que participen en llamadas telef\u00f3nicas grabadas o chats de video y extraer informaci\u00f3n valiosa.<\/p>\n “El actor de amenazas se ha involucrado en una actividad constante y ampli\u00f3 su objetivo para incluir empresarios prominentes e individuos de alto perfil que han hecho grandes donaciones a los esfuerzos humanitarios de Ucrania o aquellos que hacen declaraciones p\u00fablicas sobre la desinformaci\u00f3n y la propaganda rusa”, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/03\/Winter-Vivern-APT-Group-apunta-a-funcionarios-indios-lituanos-eslovacos.png\")
<\/div>\n