El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha detallado una nueva campaña de correo electrónico malicioso dirigida a agencias gubernamentales, empresas y entidades militares.
“Los mensajes explotan el atractivo de integrar servicios populares como Amazon o Microsoft e implementar una arquitectura de confianza cero”, dijo CERT-UA. “Estos correos electrónicos contienen archivos adjuntos en forma de archivos de configuración del Protocolo de escritorio remoto (‘.rdp’).
Una vez ejecutados, los archivos RDP establecen una conexión con un servidor remoto, lo que permite a los actores de amenazas obtener acceso remoto a los hosts comprometidos, robar datos y plantar malware adicional para ataques posteriores.
Se cree que la preparación de la infraestructura para la actividad ha estado en marcha desde al menos agosto de 2024, y la agencia afirmó que es probable que salga de Ucrania y se dirija a otros países.
CERT-UA ha atribuido la campaña a un actor de amenazas al que rastrea como UAC-0215. Amazon Web Service (AWS), en su propio aviso, lo vinculó con el grupo de piratería del estado-nación ruso conocido como APT29.
“Algunos de los nombres de dominio que utilizaron intentaron engañar a los objetivos haciéndoles creer que los dominios eran dominios de AWS (no lo eran), pero Amazon no era el objetivo, ni el grupo buscaba las credenciales de los clientes de AWS”, dijo CJ Moses, jefe de información de Amazon. dijo el oficial de seguridad. “Más bien, APT29 buscó las credenciales de Windows de sus objetivos a través de Microsoft Remote Desktop”.
El gigante tecnológico dijo que también se apoderó de los dominios que el adversario estaba usando para hacerse pasar por AWS con el fin de neutralizar la operación. Algunos de los dominios utilizados por APT29 se enumeran a continuación:
- ca-west-1.mfa-gov(.)nube
- central-2-aws.ua-aws(.)ejército
- us-east-2-aws.ua-gov(.)nube
- aws-ucrania.cloud
- aws-data.nube
- aws-s3.nube
- aws-il.nube
- aws-join.nube
- aws-meet.nube
- aws-meetings.nube
- aws-online.nube
- aws-secure.nube
- s3-aws(.)nube
- s3-fbi(.)nube
- s3-nsa(.)nube, y
- s3-proofpoint(.)nube
El desarrollo se produce cuando CERT-UA también advirtió sobre un ciberataque a gran escala destinado a robar información confidencial de usuarios ucranianos. La amenaza ha sido catalogada bajo el nombre de UAC-0218.
El punto de partida del ataque es un correo electrónico de phishing que contiene un enlace a un archivo RAR con trampa explosiva que pretende ser facturas o detalles de pago.
Dentro del archivo hay un malware basado en Visual Basic Script denominado HOMESTEEL que está diseñado para filtrar archivos que coinciden con ciertas extensiones (“xls”, “xlsx”, “doc”, “docx”, “pdf”, “txt”, “csv, ” “rtf”, “ods”, “odt”, “eml”, “pst”, “rar” y “zip”) a un servidor controlado por un atacante.
“De esta manera los delincuentes pueden obtener acceso a datos personales, financieros y otros datos sensibles y utilizarlos para chantajear o robar”, dijo CERT-UA.
Además, CERT-UA ha alertado sobre una campaña estilo ClickFix que está diseñada para engañar a los usuarios con enlaces maliciosos incrustados en mensajes de correo electrónico para colocar un script de PowerShell que es capaz de establecer un túnel SSH, robar datos de navegadores web y descargar e iniciar Metasploit. marco de pruebas de penetración.
Los usuarios que hacen clic en el enlace son dirigidos a una página de verificación reCAPTCHA falsa que les solicita que verifiquen su identidad haciendo clic en un botón. Esta acción copia el script malicioso de PowerShell (“Browser.ps1”) al portapapeles del usuario y muestra una ventana emergente con instrucciones para ejecutarlo usando el cuadro de diálogo Ejecutar en Windows.
CERT-UA dijo que tiene un “nivel promedio de confianza” en que la campaña es obra de otro actor ruso de amenazas persistentes avanzadas conocido como APT28 (también conocido como UAC-0001).
Las ciberofensivas contra Ucrania se producen en medio de un informe de Bloomberg que detalla cómo la agencia de inteligencia militar de Rusia y el Servicio Federal de Seguridad (FSB) atacaron sistemáticamente la infraestructura y el gobierno de Georgia como parte de una serie de intrusiones digitales entre 2017 y 2020. Algunos de los ataques han sido fijado en Turla.