Los actores rusos de amenaza cibernética se han atribuido a una campaña patrocinada por el estado dirigida a entidades de abastecimiento occidental y compañías de tecnología desde 2022.
Se ha evaluado que la actividad está orquestada por APT28 (además conocido como BlueDelta, Fancy Bear o Forest Blizzard), que está vinculado al Centro de Servicio Peculiar Principal de la Dirección de Inteligencia del Estado Maduro Militar de Rusia (GRU) 85, Pelotón Marcial 26165.
Los objetivos de la campaña incluyen compañías involucradas en la coordinación, el transporte y la entrega de subsidio extranjera a Ucrania, según un aviso conjunto publicado por agencias de Australia, Canadá, Checia, Dinamarca, Estonia, Francia, Alemania, Países Bajos, Polonia, el Reino Unido y los Estados Unidos.
«Esta campaña orientada al ciberdementalismo dirigida a las entidades de abastecimiento y las compañías de tecnología utiliza una combinación de TTP previamente revelados y probablemente está conectado a la orientación a amplia escalera de estos actores en las cámaras IP en Ucrania y limitando a las naciones de la OTAN», dijo el boletín.
La alerta se produce semanas a posteriori de que el Ocupación de Relaciones Exteriores de Francia acusó a APT28 de crecientes ataques cibernéticos en una docena de entidades, incluidos ministerios, empresas de defensa, entidades de investigación y think tanks desde 2021 en un intento de desestabilizar la nación.
Luego, la semana pasada, ESET retiró las envolturas de una campaña doblada Operation RoundPress que, según dijo, ha estado en curso desde 2023 al explotar las vulnerabilidades de secuencias de comandos de sitios cruzados (XSS) en varios servicios de correo web como RoundCube, Horde, Mdaemon y Zimbra para las empresas gubernamentales y las compañías de defensa en el este de Europa, así como las gobiernos en África, Europa y América del Sur. Y América del Sur.
Según el posterior aviso, se dice que los ataques cibernéticos orquestados por APT28 involucraron una combinación de pulverización de contraseñas, phishing de vara y modificación de permisos de caja de Microsoft Exchange para fines de espionaje.
Los objetivos principales de la campaña incluyen organizaciones adentro de los Estados miembros de la OTAN y Ucrania que zapatilla la defensa, el transporte, el marino, la dirección del tráfico etéreo y los servicios de TI. Se estima que no menos de docenas de entidades en Bulgaria, Checia, Francia, Alemania, Grecia, Italia, Moldavia, Países Bajos, Polonia, Rumania, Eslovaquia, Ucrania y Estados Unidos.
Se dice que el llegada original a las redes específicas se facilitó aprovechando siete métodos diferentes –
- Ataques de fuerza bruta para adivinar credenciales
- Ataques de phishing de vara para cosechar credenciales utilizando páginas de inicio de sesión falsas que se hacen ocurrir por agencias gubernamentales y proveedores de correo electrónico de la cúmulo occidental que fueron alojados en servicios de terceros gratuitos o dispositivos SOHO comprometidos
- Ataques de phishing de vara para entregar malware
- Explotación de la vulnerabilidad de Outlook NTLM (CVE-2023-23397)
- Explotación de vulnerabilidades de RoundCube (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- Explotación de infraestructura orientada a Internet, como VPN corporativas, utilizando vulnerabilidades públicas e inyección de SQL
- Explotación de la vulnerabilidad de Winrar (CVE-2023-38831)
Una vez que los actores de la Pelotón 26165 se establecen un punto de apoyo utilizando uno de los métodos anteriores, los ataques proceden a la período posterior a la explotación, que implica realizar un registro para identificar objetivos adicionales en posiciones esencia, individuos responsables de coordinar el transporte y otras compañías que cooperan con la entidad víctima.
Los atacantes además se han observado utilizando herramientas como Impacket, PSEXEC y Protocolo de escritorio remoto (RDP) para el movimiento adyacente, así como Certipy y Adexplorer.exe para exfiltrar la información del Active Directory.
«Los actores tomarían medidas para colocar y exfiltrar listas de usuarios de Office 365 y configurar una colección de correo electrónico sostenida», señalaron las agencias. «Los actores utilizaron la manipulación de los permisos de caja para establecer una colección de correo electrónico sostenida en entidades logísticas comprometidas».
Otro peculiaridad importante de las intrusiones es el uso de familias de malware como Headlace y Masepie, para establecer la persistencia en los anfitriones comprometidos y la información sensible a la cosecha. No hay evidencia de que las variantes de malware como OceanMap y Steelhook se hayan utilizado para dirigir directamente a los sectores de abastecimiento o TI.
Durante la exfiltración de datos, los actores de amenaza se han basado en diferentes métodos basados en el entorno de las víctimas, a menudo utilizando comandos de PowerShell para crear archivos postales para cargar los datos recopilados a sus propias infraestructura, o invertir servicios web de Exchange (EWS) y Protocolo de mensajes de llegada a Internet (IMAP) para destinar información de los servidores de correo electrónico.
«A medida que las fuerzas militares rusas no cumplieron con sus objetivos militares y los países occidentales brindaron ayuda para apoyar a la defensa territorial de Ucrania, la Pelotón 26165 amplió su orientación a entidades logísticas y compañías de tecnología involucradas en la entrega de ayuda», dijeron las agencias. «Estos actores además se han dirigido a cámaras conectadas a Internet en los cruces fronterizos ucranianos para monitorear y rastrear los envíos de ayuda».
La divulgación se produce cuando Cato Networks reveló que los presuntos actores de amenazas rusas están aprovechando el almacenamiento de objetos de Tigris, el almacenamiento de objetos de Oracle Cloud Infrastructure (OCI) y el almacenamiento de objetos de escamas para penetrar páginas falsas de Recaptcha que utilizan señuelos de estilo ClickFix para engañar a los usuarios en la descarga de Lumma Stealer.
«La nuevo campaña que aprovecha el almacenamiento de objetos de Tigris, el almacenamiento de objetos OCI y el almacenamiento de objetos de escamas se basan en métodos anteriores, introduciendo nuevos mecanismos de entrega destinados a esquivar la detección y dirigirse a usuarios técnicamente competentes», dijeron investigadores Guile Domingo, Guy Waizel y Tomer Agayev.
