Se ha observado que un actor de amenazas simpatizante con Rusia apunta a una institución financiera europea como parte de un ataque de ingeniería social para probablemente solucionar la resumen de inteligencia o el robo financiero, lo que indica una posible expansión de los objetivos del actor de amenazas más allá de Ucrania y en dirección a entidades que apoyan a la nación devastada por la hostilidades.
La actividad, que tuvo como objetivo una entidad no identificada involucrada en iniciativas de progreso y reconstrucción regional, se ha atribuido a un congregación de delitos cibernéticos rastreado como UAC-0050 (igualmente conocido como Género DaVinci). BlueVoyant ha designado el nombre Mercenary Akula al congregación de amenazas. El ataque se observó a principios de este mes.
“El ataque falsificó un dominio procesal ucraniano para entregar un correo electrónico que contenía un enlace a una carga útil de comunicación remoto”, dijeron los investigadores Patrick McHale y Joshua Green en un noticia compartido con The Hacker News. “El objetivo era un asesor legítimo y político senior involucrado en adquisiciones, un rol con conocimiento privilegiado de las operaciones institucionales y los mecanismos financieros”.
El punto de partida es un correo electrónico de phishing que utiliza temas legales para dirigir a los destinatarios a descargar un archivo alojado en PixelDrain, un servicio de intercambio de archivos utilizado por el actor de amenazas para eludir los controles de seguridad basados en la reputación.
El ZIP es responsable de iniciar una esclavitud de infección de múltiples capas. En el interior del archivo ZIP hay un archivo RAR que contiene un archivo 7-Zip protegido con contraseña, que incluye un ejecutable que se hace sobrevenir por un documento PDF mediante el uso del truco de doble extensión, del que tanto se abusa (*.pdf.exe).
La ejecución da como resultado la implementación de un instalador MSI para Remote Manipulator System (RMS), un software de escritorio remoto ruso que permite el control remoto, el uso compartido de escritorio y la transferencia de archivos.
“El uso de este tipo de herramientas para ‘existir de la tierra’ proporciona a los atacantes un comunicación persistente y sigiloso, mientras que a menudo evaden la detección antivirus tradicional”, señalaron los investigadores.
El uso de RMS se alinea con el modus operandi antecedente de UAC-0050, y se sabe que el actor de amenazas utiliza software permitido de comunicación remoto como LiteManager y troyanos de comunicación remoto como RemcosRAT en ataques dirigidos a Ucrania.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha caracterizado a UAC-0050 como un congregación mesnadero asociado con agencias policiales rusas que lleva a lado resumen de datos, robo financiero y operaciones de información y psicológicas bajo la marca Fire Cells.
“Este ataque refleja el perfil de ataque repetitivo y correctamente establecido de Mercenary Akula, al mismo tiempo que ofrece un progreso sobresaliente”, dijo BlueVoyant. “En primer ocasión, su objetivo se ha centrado principalmente en entidades con sede en Ucrania, especialmente contadores y funcionarios financieros. Sin confiscación, este incidente sugiere una posible investigación de instituciones que apoyan a Ucrania en Europa occidental”.
La revelación se produce cuando Ucrania reveló que los ciberataques rusos dirigidos a la infraestructura energética del país se centran cada vez más en compilar inteligencia para pilotar los ataques con misiles en ocasión de interrumpir inmediatamente las operaciones, informó The Record.
La empresa de ciberseguridad CrowdStrike, en su Crónica anual sobre amenazas globales, dijo que retraso que los adversarios del vinculo con Rusia continúen realizando operaciones agresivas con el objetivo de compilar inteligencia de objetivos ucranianos y estados miembros de la OTAN.
Esto incluye los esfuerzos realizados por APT29 (igualmente conocido como Cozy Bear y Midnight Blizzard) para explotar “sistemáticamente” la confianza, la credibilidad organizacional y la legalidad de la plataforma como parte de campañas de phishing dirigidas a organizaciones no gubernamentales (ONG) con sede en EE. UU. y a una entidad legítimo con sede en EE. UU. para obtener comunicación no competente a las cuentas de Microsoft de las víctimas.
“Cozy Bear comprometió o se hizo sobrevenir por individuos con quienes los usuarios objetivo mantenían relaciones profesionales de confianza”, dijo CrowdStrike. “Las personas suplantadas incluían empleados de filiales de ONG internacionales y organizaciones pro Ucrania”.
“El adversario invirtió mucho en fundamentar estas suplantaciones, utilizando cuentas de correo electrónico legítimas de personas comprometidas contiguo con canales de comunicación desechables para reanimar la autenticidad”.
