El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha detallado una nueva campaña de correo electrónico malicioso dirigida a agencias gubernamentales, empresas y entidades militares.
“Los mensajes aprovechan el atractivo de integrar servicios populares como Amazon o Microsoft e implementar una arquitectura de confianza cero”, CERT-UA dicho. “Estos correos electrónicos contienen archivos adjuntos en forma de archivos de configuración del Protocolo de escritorio remoto (‘.rdp’).
Una vez ejecutados, los archivos RDP establecen una conexión con un servidor remoto, lo que permite a actores malintencionados acceder de forma remota a hosts comprometidos, robar datos e instalar malware adicional para ataques posteriores.
Se cree que la preparación de la infraestructura para esta actividad ha estado en marcha desde al menos agosto de 2024, y la agencia dice que es probable que se extienda desde Ucrania hacia otros países.
CERT-UA atribuyó la campaña a un actor de amenazas al que rastrea como UAC-0215. Amazon Web Service (AWS), en su propio aviso, lo vinculó con el grupo de hackers ruso conocido como APT29.
“Algunos de los nombres de dominio que utilizaron intentaron engañar a los objetivos haciéndoles pensar que eran dominios de AWS (no lo eran), pero Amazon no era el objetivo y el grupo tampoco estaba buscando credenciales de clientes de AWS”, dijo CJ. Moses, director de información de Amazon. guardia de seguridad, dicho. “En cambio, APT29 buscó las credenciales de Windows de sus objetivos a través del Escritorio remoto de Microsoft”.
El gigante tecnológico dijo que también se apoderó de los dominios que el adversario estaba usando para hacerse pasar por AWS y neutralizar la operación. Algunos de los dominios utilizados por APT29 se enumeran a continuación:
- ca-west-1.mfa-gov[.]nube
- central-2-aws.ua-aws[.]ejército
- us-east-2-aws.ua-gov[.]nube
- aws-ucrania.cloud
- aws-data.nube
- aws-s3.nube
- aws-il.nube
- aws-join.nube
- aws-meet.nube
- aws-meetings.nube
- aws-online.nube
- aws-secure.nube
- s3-aws[.]nube
- s3-fbi[.]nube
- s3-nsa[.]nube, y
- punto de prueba s3[.]nube
El desarrollo se produce cuando CERT-UA también advirtió sobre un ciberataque a gran escala destinado a robar información confidencial sobre usuarios ucranianos. La amenaza ha sido catalogada con el sobrenombre de UAC-0218.
El punto de partida del ataque es un correo electrónico de phishing que contiene un enlace a un archivo RAR con trampa explosiva que pretende ser facturas o detalles de pago.
El archivo contiene malware basado en Visual Basic Script llamado HOMESTEEL, diseñado para filtrar archivos que coinciden con ciertas extensiones (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, “rtf”. , “ods”, “odt”, “eml”, “pst”, “rar” y “zip”) a un servidor controlado por un atacante.
“De esta manera, los delincuentes pueden acceder a datos personales, financieros y otros datos sensibles y utilizarlos para chantajear o robar”, CERT-UA dicho.
Además, el CERT-UA tiene alerta una campaña estilo ClickFix diseñada para engañar a los usuarios para que utilicen enlaces maliciosos integrados en mensajes de correo electrónico para eliminar un script de PowerShell capaz de establecer un túnel SSH, robar datos de los navegadores web y descargar e iniciar el marco de pruebas de penetración Metasploit.
Los usuarios que hacen clic en el enlace son dirigidos a una página de verificación reCAPTCHA falsa que les solicita que verifiquen su identidad haciendo clic en un botón. Esta acción copia el script malicioso de PowerShell (“Browser.ps1”) en el portapapeles del usuario y muestra una ventana emergente con instrucciones para ejecutarlo mediante el cuadro de diálogo Ejecutar de Windows.
CERT-UA dijo que tiene un “nivel medio de confianza” en que la campaña es obra de otro actor ruso de amenazas persistentes avanzadas conocido como APT28 (también conocido como UAC-0001).
Las ciberofensivas contra Ucrania se dan en un contexto informe de Bloomberg que detalla cómo la agencia de inteligencia militar de Rusia y el Servicio Federal de Seguridad (FSB) atacaron sistemáticamente la infraestructura y el gobierno de Georgia en una serie de intrusiones digitales entre 2017 y 2020. Algunos de estos ataques se atribuyeron a Turla.