El actor-Estado-nación ruso es seguido como Ventisca secreta Se ha observado que aprovecha el malware asociado con otros actores de amenazas para implementar una puerta trasera conocida llamada Kazuar en dispositivos objetivo ubicados en Ucrania.
Los nuevos hallazgos provienen del equipo de inteligencia de amenazas de Microsoft, que dijo que observó que el adversario aprovechaba el malware bot Amadey para descargar malware personalizado en sistemas “específicamente seleccionados” asociados con el ejército ucraniano entre marzo y abril de 2024.
Se considera que la actividad es la segunda vez desde 2022 que Secret Blizzard, también conocida como Turla, se ha aferrado a una campaña de cibercrimen para propagar sus propias herramientas en Ucrania.
“Controlar el acceso de otros actores de amenazas resalta el enfoque de Secret Blizzard para diversificar sus vectores de ataque”, dijo la compañía en un informe compartido con The Hacker News.
Algunos de los otros métodos conocidos empleados por el equipo de piratería incluyen campañas de adversario en el medio (AitM), compromisos web estratégicos (también conocidos como ataques de abrevadero) y phishing.
Secret Blizzard tiene un historial de apuntar a varios sectores para facilitar el acceso encubierto a largo plazo para la recopilación de inteligencia, pero su enfoque principal está en los ministerios de relaciones exteriores, embajadas, oficinas gubernamentales, departamentos de defensa y empresas relacionadas con la defensa en todo el mundo.
El último informe llega una semana después de que el gigante tecnológico, junto con Lumen Technologies Black Lotus Labs, revelara el secuestro por parte de Turla de 33 servidores de comando y control (C2) de un grupo de hackers con sede en Pakistán llamado Storm-0156 para llevar a cabo sus propias operaciones. .
Los ataques dirigidos a entidades ucranianas implican comandar a los bots de Amadey para que implementen una puerta trasera conocida como Tavdig, que luego se utiliza para instalar una versión actualizada de Kazuar, que fue documentada por la Unidad 42 de Palo Alto Networks en noviembre de 2023.
Microsoft está rastreando la actividad cibercriminal vinculada a Amadey, que a menudo incluye la ejecución del minero de criptomonedas XMRig, bajo el nombre de Storm-1919.
Se cree que Secret Blizzard utilizó el malware como servicio (MaaS) de Amadey o accedió sigilosamente a los paneles de comando y control (C2) de Amadey para descargar un cuentagotas de PowerShell en los dispositivos de destino. El dropper comprende una carga útil de Amadey codificada en Base64 a la que se le añade un segmento de código, que vuelve a llamar a un servidor Turla C2.
“La necesidad de codificar el cuentagotas de PowerShell con una URL C2 separada controlada por Secret Blizzard podría indicar que Secret Blizzard no tenía el control directo del mecanismo C2 utilizado por el bot Amadey”, dijo Microsoft.
La siguiente fase implica descargar una herramienta de reconocimiento personalizada con el objetivo de recopilar detalles sobre el dispositivo víctima y probablemente verificar si Microsoft Defender estaba habilitado, lo que en última instancia permite al actor de la amenaza concentrarse en los sistemas que son de mayor interés.
En esta etapa, el ataque procede a implementar un cuentagotas de PowerShell que contiene la puerta trasera Tavdig y un binario legítimo de Symantec que es susceptible a la carga lateral de DLL. Tavdig, por su parte, se utiliza para realizar reconocimientos adicionales y lanzar KazuarV2.
Microsoft dijo que también detectó que el actor de amenazas reutilizaba una puerta trasera de PowerShell vinculada a un grupo de hackers diferente con sede en Rusia llamado Flying Yeti (también conocido como Storm-1837 y UAC-0149) para implementar un cuentagotas de PowerShell que incorpora Tavdig.
Actualmente se está investigando cómo Secret Blizzard obtuvo el control de la puerta trasera Storm-1837 o de los bots Amadey para descargar sus propias herramientas, señaló el gigante tecnológico.
No hace falta decir que los hallazgos resaltan una vez más la búsqueda repetida por parte del actor de amenazas de puntos de apoyo proporcionados por otras partes, ya sea comprando el acceso o robándolos, para llevar a cabo campañas de espionaje de una manera que oscurece su propia presencia.
“No es raro que los actores utilicen las mismas tácticas o herramientas, aunque rara vez vemos evidencia de que comprometan y utilicen la infraestructura de otros actores”, dijo a The Hacker News Sherrod DeGrippo, director de Estrategia de Inteligencia de Amenazas de Microsoft.
“La mayoría de los actores de amenazas patrocinados por el estado tienen objetivos operativos que dependen de una infraestructura dedicada o cuidadosamente comprometida para conservar la integridad de su operación. Esta es potencialmente una técnica de ofuscación efectiva para frustrar a los analistas de inteligencia de amenazas y dificultar la atribución al actor de amenazas correcto”.
