Un subgrupo en el interior del infame liga de piratería patrocinado por el estado ruso conocido como Reptil de arena se ha atribuido a una operación de camino original de varios abriles denominado Badpilot que se extendió en todo el mundo.
“Este subgrupo ha realizado compromisos a nivel mundial de infraestructura orientada a Internet para permitir que Seashell Blizzard persista en objetivos de parada valencia y admite operaciones de red personalizadas”, dijo el equipo de inteligencia de amenazas de Microsoft en un nuevo noticia compartido con las noticiero de los piratas informáticos antaño de la publicación.
La propagación geográfica de los objetivos del subgrupo de camino original incluye toda América del Ideal, varios países de Europa, así como otros, incluidos Angola, Argentina, Australia, China, Egipto, India, Kazajstán, Myanmar, Nigeria, Pakistán, Turquía y Uzbekistán.
El mejora marca una expansión significativa de la huella de la victimología del liga de piratería en los últimos tres abriles, que igualmente se sabe que se concentra en Europa del Este,
- 2022: Sectores de energía, minorista, educación, consultoría y agricultura en Ucrania
- 2023: sectores en los Estados Unidos, Europa, Asia Central y Medio Oriente que proporcionaron apoyo material a la refriega en Ucrania o fueron geopolíticamente significativos
- 2024: Entidades en los Estados Unidos, Canadá, Australia y el Reino Unido
Sandworm es rastreado por Microsoft bajo el apodo Seashell Blizzard (anteriormente Iridium), y por la comunidad de seguridad cibernética más amplia bajo los nombres APT44, Blue Echidna, Tornado FrozenBarents, Tornado plomizo, Iron Viking, Razing Ursa, Telebots, UaC-0002 y Voodoo Bear. Activo desde al menos 2013, se evalúa que el liga está afiliado a la Dispositivo 74455 en el interior de la Dirección Principal del Estado Longevo de las Fuerzas Armadas de la Pacto Rusa (GRU).
El colectivo adversario ha sido descrito por Mandiant, propiedad de Google, como un actor de amenaza “en extremo adaptable” y “operativamente madurado” que se involucra en el espionaje, el ataque e influye en las operaciones. Igualmente tiene un historial de ataques disruptivos y destructivos contra Ucrania durante la última período.
Las campañas montadas por Sandworm a raíz de la Conflicto Ruso-Ukrainiana han estudioso los limpiaparabrisas de datos (Killdisk, igualmente conocido como Hermeticwiper), pseudo-ransomware (Prestige, igualmente conocido como Presstea) y Backpaless (Kapeka), adicionalmente de las familias de malware que permiten a los actores de amenaza a sustentar Acercamiento remoto persistente a hosts infectados a través de Darkcrystal Rat (igualmente conocido como DCRAT).
Igualmente se ha observado pender de una variedad de empresas rusas y mercados criminales para obtener y sustentar sus capacidades ofensivas, destacando una tendencia creciente de delito cibernético que facilita la piratería respaldada por el estado.
“El liga ha utilizado herramientas e infraestructura de origen penal como fuente de capacidades desechables que pueden operacionalizarse a corto plazo sin enlaces inmediatos a sus operaciones pasadas”, dijo el Comunidad de Inteligencia de Amenazos de Google (GTIG) en un observación.
“Desde la invasión a gran escalera de Rusia de Ucrania, APT44 ha aumentado el uso de tales herramientas, incluido el malware como Darkcrystal Rat (DCRAT), Warzone y Radthief (‘Rhadamanthys Stealer’) e infraestructura de alojamiento a prueba de balas como la que proporciona la proporcionada por el El actor de palabra rusa ‘Yalishanda’, que anuncia en comunidades subterráneas cibercriminales “.
Microsoft dijo que el subgrupo de lombrices de arena ha estado activo desde al menos finales de 2021, explotando varios defectos de seguridad conocidos para obtener camino original, seguido de una serie de acciones posteriores a la explotación destinadas a resumir credenciales, ganar la ejecución de comandos y apoyar el movimiento fronterizo.
“Las operaciones observadas posteriormente del camino original indican que esta campaña permitió a Seashell Blizzard obtener camino a objetivos globales en sectores sensibles, incluidos energía, petróleo y gas, telecomunicaciones, giro, fabricación de armas, adicionalmente de los gobiernos internacionales”, señaló el titán tecnológico.
“Este subgrupo ha sido recaudador por una capacidad escalable horizontalmente reforzada por hazañas publicadas que permitieron a Seashell Blizzard descubrir y comprometer numerosos sistemas orientados a Internet en una amplia serie de regiones y sectores geográficos”.
Desde principios del año pasado, se dice que el sub-clúster ha armado vulnerabilidades en la pantalla de pantalla conectada (CVE-2024-1709) y Fortinet Forticlient EMS (CVE-2023-48788) para infiltrarse en objetivos en el Reino Unido y los Estados Unidos.
Los ataques llevados a lado por el subgrupo implican una combinación de ataques oportunistas de “rociar y rezar” e intrusiones específicas que están diseñadas para sustentar el camino indiscriminado y realizar acciones de seguimiento para expandir el camino a la red u obtener información confidencial.
Se cree que la amplia serie de compromisos ofrece a Seashell Blizzard una forma de cumplir con los objetivos estratégicos en constante proceso de Kremlin, lo que permite que el atuendo de piratería escalera horizontalmente sus operaciones en diversos sectores a medida que se revelan los nuevos expectativas.
Hasta la aniversario, hasta ocho vulnerabilidades de seguridad conocidas diferentes han sido explotadas por el subgrupo hasta la aniversario,
El actor de amenaza que establece la persistencia a través de tres métodos diferentes, lo sucede exitoso.
- 24 de febrero de 2024 – presente: Despliegue de software de camino remoto razonable, como Atera Agent y Splashtop Remote Services, en algunos casos que abusan del camino a descargar cargas aperos adicionales para la adquisición de credenciales, la exfiltración de datos y otras herramientas para sustentar el camino como OpenSSH y una utilidad a medida doblada SHADOWNINK Se puede lograr al sistema a través de la red de anonimato
- Finales de 2021 – presente: Despliegue de un shell web llamado localolive que permite comando y control y sirve como conducto para más cargas aperos, como utilidades de túneles (por ejemplo, cincel, plink y rsockstun)
- Finales de 2021 – 2024: Modificaciones maliciosas a las páginas de inicio de sesión de Acercamiento web de Outlook (OWA) para inyectar el código de JavaScript que pueda cosechar y exfiltrar las credenciales al actor de amenazas en tiempo auténtico, y alterar las configuraciones de registro A del DNS probablemente en un esfuerzo por interceptar las credenciales de la autenticación crítica servicios
“Este subgrupo, que se caracteriza en el interior de la ordenamiento de Blizzard más amplia conhellhell por su efecto casi general, representa una expansión tanto en la orientación geográfica realizada por Seashell Blizzard como en el efecto de sus operaciones”, dijo Microsoft.
“Al mismo tiempo, los métodos de camino oportunistas y de grande efecto de Seashell Blizzard probablemente ofrecen oportunidades expansivas de Rusia para operaciones y actividades de hornacina que continuarán siendo valiosos a mediano plazo”.
El mejora se produce cuando la empresa holandesa de ciberseguridad ECLECTICIQ vinculó el liga de lombrices de arena con otra campaña que aprovecha los activadores pirateados de Microsoft Key Management Service (KMS) y las actualizaciones falsas de Windows para ofrecer una nueva lectura de BackerDer, un descargador basado en Go que es responsable de obtener y ejecutar un carga útil de la segunda etapa desde un servidor remoto.
La orden de fondo, según Mandiant, generalmente se entrega en el interior de los archivos del instalador troyano y está codificado para ejecutar el ejecutable de configuración innovador. El objetivo final de la campaña es entregar Darkcrystal Rat.
“La gran dependencia de Ucrania en el software agrietado, incluso en las instituciones gubernamentales, crea una importante superficie de ataque”, dijo la investigadora de seguridad Arda Büyükkaya. “Muchos usuarios, incluidas las empresas y las entidades críticas, han recurrido al software pirateado de fuentes no confiables, lo que brinda a adversarios como Sandworm (APT44) una mejor oportunidad para intercalar malware en programas ampliamente utilizados”.
El observación de infraestructura adicional ha descubierto un rdp trasero RDP con nombre en código Kalambur que está disfrazado de puesta al día de Windows, y que utiliza la red TOR para comando y control, así como para implementar OpenSSH y habilitar el camino remoto a través del protocolo de escritorio remoto (RDP) en el puerto 3389.
“Al usar el software troyanizado para infiltrarse en entornos ICS, Sandworm (APT44) continúa demostrando su objetivo decisivo de desestabilizar la infraestructura crítica de Ucrania en apoyo de las ambiciones geopolíticas rusas”, dijo Büyükkaya.
