Los actores rusos de amenaza cibernética se han atribuido a una campaña patrocinada por el estado dirigida a entidades de provisión occidental y compañías de tecnología desde 2022.
Se ha evaluado que la actividad está orquestada por APT28 (todavía conocido como BlueDelta, Fancy Bear o Forest Blizzard), que está vinculado al Centro de Servicio Específico Principal de la Dirección de Inteligencia del Estado Viejo Común de Rusia (GRU) 85, Mecanismo Marcial 26165.
Los objetivos de la campaña incluyen compañías involucradas en la coordinación, el transporte y la entrega de concurso extranjera a Ucrania, según un aviso conjunto publicado por agencias de Australia, Canadá, Checia, Dinamarca, Estonia, Francia, Alemania, Países Bajos, Polonia, el Reino Unido y los Estados Unidos.
“Esta campaña orientada al ciberdementalismo dirigida a las entidades de provisión y las compañías de tecnología utiliza una combinación de TTP previamente revelados y probablemente está conectado a la orientación a amplia escalera de estos actores en las cámaras IP en Ucrania y limitando a las naciones de la OTAN”, dijo el boletín.
La alerta se produce semanas posteriormente de que el Profesión de Relaciones Exteriores de Francia acusó a APT28 de crecientes ataques cibernéticos en una docena de entidades, incluidos ministerios, empresas de defensa, entidades de investigación y think tanks desde 2021 en un intento de desestabilizar la nación.
Luego, la semana pasada, ESET retiró las envolturas de una campaña doblada Operation RoundPress que, según dijo, ha estado en curso desde 2023 al explotar las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) en varios servicios de correo web como RoundCube, Horde, Mdaemon y Zimbra para las empresas gubernamentales y las compañías de defensa en el este de Europa, así como las gobiernos en África, Europa y América del Sur. Y América del Sur.
Según el postrer aviso, se dice que los ataques cibernéticos orquestados por APT28 involucraron una combinación de pulverización de contraseñas, phishing de asta y modificación de permisos de orificio de Microsoft Exchange para fines de espionaje.
Los objetivos principales de la campaña incluyen organizaciones internamente de los Estados miembros de la OTAN y Ucrania que alpargata la defensa, el transporte, el náutico, la encargo del tráfico vaporoso y los servicios de TI. Se estima que no menos de docenas de entidades en Bulgaria, Checia, Francia, Alemania, Grecia, Italia, Moldavia, Países Bajos, Polonia, Rumania, Eslovaquia, Ucrania y Estados Unidos.
Se dice que el camino original a las redes específicas se facilitó aprovechando siete métodos diferentes –
- Ataques de fuerza bruta para adivinar credenciales
- Ataques de phishing de asta para cosechar credenciales utilizando páginas de inicio de sesión falsas que se hacen tener lugar por agencias gubernamentales y proveedores de correo electrónico de la montón occidental que fueron alojados en servicios de terceros gratuitos o dispositivos SOHO comprometidos
- Ataques de phishing de asta para entregar malware
- Explotación de la vulnerabilidad de Outlook NTLM (CVE-2023-23397)
- Explotación de vulnerabilidades de RoundCube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Explotación de infraestructura orientada a Internet, como VPN corporativas, utilizando vulnerabilidades públicas e inyección de SQL
- Explotación de la vulnerabilidad de Winrar (CVE-2023-38831)
Una vez que los actores de la Mecanismo 26165 se establecen un punto de apoyo utilizando uno de los métodos anteriores, los ataques proceden a la grado posterior a la explotación, que implica realizar un examen para identificar objetivos adicionales en posiciones secreto, individuos responsables de coordinar el transporte y otras compañías que cooperan con la entidad víctima.
Los atacantes todavía se han observado utilizando herramientas como Impacket, PSEXEC y Protocolo de escritorio remoto (RDP) para el movimiento limítrofe, así como Certipy y Adexplorer.exe para exfiltrar la información del Active Directory.
“Los actores tomarían medidas para colocar y exfiltrar listas de usuarios de Office 365 y configurar una colección de correo electrónico sostenida”, señalaron las agencias. “Los actores utilizaron la manipulación de los permisos de orificio para establecer una colección de correo electrónico sostenida en entidades logísticas comprometidas”.
Otro trazo sobresaliente de las intrusiones es el uso de familias de malware como Headlace y Masepie, para establecer la persistencia en los anfitriones comprometidos y la información sensible a la cosecha. No hay evidencia de que las variantes de malware como OceanMap y Steelhook se hayan utilizado para dirigir directamente a los sectores de provisión o TI.
Durante la exfiltración de datos, los actores de amenaza se han basado en diferentes métodos basados en el entorno de las víctimas, a menudo utilizando comandos de PowerShell para crear archivos postales para cargar los datos recopilados a sus propias infraestructura, o consumir servicios web de Exchange (EWS) y Protocolo de mensajes de camino a Internet (IMAP) para cursar información de los servidores de correo electrónico.
“A medida que las fuerzas militares rusas no cumplieron con sus objetivos militares y los países occidentales brindaron ayuda para apoyar a la defensa territorial de Ucrania, la Mecanismo 26165 amplió su orientación a entidades logísticas y compañías de tecnología involucradas en la entrega de ayuda”, dijeron las agencias. “Estos actores todavía se han dirigido a cámaras conectadas a Internet en los cruces fronterizos ucranianos para monitorear y rastrear los envíos de ayuda”.
La divulgación se produce cuando Cato Networks reveló que los presuntos actores de amenazas rusas están aprovechando el almacenamiento de objetos de Tigris, el almacenamiento de objetos de Oracle Cloud Infrastructure (OCI) y el almacenamiento de objetos de escamas para encajar páginas falsas de Recaptcha que utilizan señuelos de estilo ClickFix para engañar a los usuarios en la descarga de Lumma Stealer.
“La nuevo campaña que aprovecha el almacenamiento de objetos de Tigris, el almacenamiento de objetos OCI y el almacenamiento de objetos de escamas se basan en métodos anteriores, introduciendo nuevos mecanismos de entrega destinados a evitar la detección y dirigirse a usuarios técnicamente competentes”, dijeron investigadores Guile Domingo, Guy Waizel y Tomer Agayev.
