wmtech logo

El grupo de hackers APT28 está dirigido a Europa, América y Asia en un amplio esquema de phishing

Luis Quiles
Luis Quiles
phishing
Malware, Guerra cibernética

El actor amenaza vinculado a Rusia conocido como APT28 ha sido relacionado con múltiples campañas de phishing en curso que emplean documentos engañosos imitando a organizaciones gubernamentales y no gubernamentales (ONG) en Europa, el Cáucaso Sur, Asia Central, y América del Norte y del Sur.

«Las señuelos descubiertos incluyen una mezcla de documentos internos y públicamente disponibles, así como posibles documentos generados por el actor asociados con finanzas, infraestructura crítica, compromisos ejecutivos, ciberseguridad, seguridad marítima, atención médica, negocios y producción industrial de defensa», dijo IBM X-Force en un informe publicado la semana pasada.

La empresa tecnológica está rastreando la actividad bajo el seudónimo ITG05, que también es conocido como Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, TA422 y UAC-028.

La divulgación se produce más de tres meses después de que el adversario fuera visto utilizando señuelos relacionados con la guerra en curso entre Israel y Hamas para entregar una puerta trasera personalizada llamada HeadLace.

Desde entonces, APT28 también ha dirigido entidades gubernamentales ucranianas y organizaciones polacas con mensajes de phishing diseñados para desplegar implantes personalizados y robadores de información como MASEPIE, OCEANMAP y STEELHOOK.

Otras campañas han implicado la explotación de fallas de seguridad en Microsoft Outlook (CVE-2023-23397, puntaje CVSS: 9.8) para saquear hash de NT LAN Manager (NTLM) v2, lo que plantea la posibilidad de que el actor de amenazas pueda aprovechar otras debilidades para exfiltrar hash NTLMv2 para su uso en ataques de relé.

email

Las últimas campañas observadas por IBM X-Force entre finales de noviembre de 2023 y febrero de 2024 aprovechan el manejador de protocolo URI «search-ms:» en Microsoft Windows para engañar a las víctimas y hacer que descarguen malware alojado en servidores WebDAV controlados por los actores.

Hay evidencia que sugiere que tanto los servidores WebDAV como los servidores MASEPIE C2 pueden estar alojados en enrutadores Ubiquiti comprometidos, un botnet compuesto por los cuales fue desactivado por el gobierno de Estados Unidos el mes pasado.

Los ataques de phishing suplantan entidades de varios países como Argentina, Ucrania, Georgia, Bielorrusia, Kazajstán, Polonia, Armenia, Azerbaiyán y Estados Unidos, utilizando una mezcla de documentos señuelo auténticos y disponibles públicamente tanto gubernamentales como no gubernamentales para activar las cadenas de infección.

«En una actualización de sus metodologías, ITG05 está utilizando el proveedor de alojamiento de forma gratuita, firstcloudit[.]com, para preparar cargas útiles y permitir operaciones continuas», dijeron los investigadores de seguridad Joe Fasulo, Claire Zaboeva y Golo Mühr.

El clímax del elaborado esquema de APT28 termina con la ejecución de MASEPIE, OCEANMAP y STEELHOOK, diseñados para exfiltrar archivos, ejecutar comandos arbitrarios y robar datos del navegador. OCEANMAP ha sido caracterizado como una versión más capaz de CredoMap, otra puerta trasera identificada anteriormente como utilizada por el grupo.

«ITG05 sigue siendo adaptable a cambios en las oportunidades al proporcionar nuevas metodologías de infección y aprovechar la infraestructura comercialmente disponible, mientras evoluciona consistentemente las capacidades de malware», concluyeron los investigadores.

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.