Las entidades en Ucrania han sido atacadas como parte de una campaña de phishing diseñada para distribuir un troyano de camino remoto llamado REMCOS RAT.
«Los nombres de archivo utilizan palabras rusas relacionadas con el movimiento de tropas en Ucrania como señuelo», dijo el investigador de Cisco Talos Guilherme Venere en un noticia publicado la semana pasada. «El descargador de PowerShell contacta a los servidores geográficos ubicados en Rusia y Alemania para descargar el archivo zip de la segunda etapa que contiene la puerta trasera REMCOS».
La actividad se ha atribuido con una confianza moderada a un orden de piratería ruso conocido como Gamaredon, que incluso se rastrea bajo los apodos Aqua Blizzard, Armageddon, Blue OTSO, Bluealpha, Hive0051, Iron Tilden, primitivo oso, shuckworm, trident USSA, UAC-0010, UNC530 y invierno.
El actor de amenaza, evaluado como afiliado al Servicio Federal de Seguridad de Rusia (FSB), es conocido por su objetivo de organizaciones ucranianas por espionaje y robo de datos. Está activo desde al menos 2013.
La última campaña se caracteriza por la distribución de archivos de camino directo de Windows (LNK) comprimido interiormente de los archivos zip, disfrazándolos como documentos de Microsoft Office relacionados con la pleito en curso ruso-ucraniana para engañar a los destinatarios para que los abran. Se cree que estos archivos se envían a través de correos electrónicos de phishing.
Los enlaces a Gamaredon se derivan del uso de dos máquinas que se utilizaron para crear los archivos de camino directo zorro y que el actor de amenazas utilizaron previamente para fines similares.
Los archivos LNK vienen equipados con el código PowerShell que es responsable de descargar y ejecutar el comando de carga de carga útil de la próxima etapa, así como para obtener un archivo de señuelo que se muestra a la víctima para proseguir la artimaña.
La segunda etapa es otro archivo ZIP, que contiene una DLL maliciosa que se ejecutará a través de una técnica denominada carga contiguo de DLL. El DLL es un cargador que descifra y ejecuta la carga útil REMCOS final de los archivos cifrados presentes interiormente del archivo.
La divulgación se produce cuando Silent Push detalló una campaña de phishing que utiliza señuelos del sitio web para compilar información contra las personas rusas que simpatizan con Ucrania. Se cree que la actividad es obra de servicios de inteligencia rusos o un actor de amenaza formado con Rusia.
La campaña consta de cuatro grupos de phishing importantes, que se hace suceder por la Agencia Central de Inteligencia de los Estados Unidos (CIA), el Cuerpo de Voluntarios de Rusia, Legion Liberty y Hochuzhit «Quiero residir», una rasgo directa para cobrar apelaciones de los miembros del servicio ruso en Ucrania para que se entreguen a las fuerzas armadas ucranianas.
Se ha opuesto que las páginas de phishing están alojadas en un proveedor de alojamiento a prueba de balas, Nybula LLC, con los actores de amenaza que confían en las formularios de Google y las respuestas por correo electrónico para compilar información personal, incluidas sus puntos de instinto políticos, malos hábitos y aptitud física, de las víctimas.
«Todas las campañas (…) observadas han tenido rasgos similares y compartieron un objetivo popular: compilar información personal de víctimas que visitan el sitio», dijo Silent Push. «Estos honeypots de phishing son probablemente el trabajo de los servicios de inteligencia rusos o un actor de amenaza formado con los intereses rusos».
