Se ha observado que un actor de amenazas alineado con Rusia ataca a una institución financiera europea como parte de un ataque de ingeniería social para facilitar la recopilación de información o el robo financiero, lo que indica una posible expansión de los ataques del actor de amenazas más allá de Ucrania y hacia las entidades que apoyan a nación devastada por la guerra .
La actividad, dirigida contra una entidad anónima que participaba en iniciativas regionales de desarrollo y reconstrucción, se ha atribuido a un grupo de ciberdelincuencia rastreado como UAC-0050 (también conocido como Grupo DaVinci ). BlueVoyant ha designado el nombre Mercenary Akula para el grupo de amenazas. El ataque se observó a principios de este mes.
«El ataque falsificó un dominio judicial ucraniano para entregar un correo electrónico que contenía un enlace a una carga útil de acceso remoto», dijeron los investigadores Patrick McHale y Joshua Green dijo en un informe compartido con The Hacker News. «El objetivo era un asesor legal y político sénior que se dedicara a las adquisiciones, un puesto con una visión privilegiada de las operaciones institucionales y los mecanismos financieros».
adsenseEl punto de partida es un correo electrónico de suplantación de identidad que utiliza temas legales para indicar a los destinatarios que descarguen un archivo archivado alojado en PixelDrain, un servicio de intercambio de archivos utilizado por el actor de amenazas para eludir los controles de seguridad basados en la reputación.
El ZIP es responsable de iniciar una cadena de infección de varias capas. Dentro del archivo ZIP hay un archivo RAR que contiene un archivo 7-Zip protegido con contraseña, que incluye un ejecutable que se hace pasar por un documento PDF mediante el truco de la doble extensión (*.pdf.exe), que es ampliamente utilizado.
La ejecución da como resultado la implementación de un instalador MSI para Remote Manipulator System (RMS), un Software de escritorio remoto ruso que permite el control remoto, el uso compartido del escritorio y la transferencia de archivos.
«El uso de estas herramientas para vivir de la tierra proporciona a los atacantes un acceso persistente y sigiloso y, a menudo, eluden la detección antivirus tradicional», señalaron los investigadores.
El uso de RMS alinea con modo de funcionamiento anterior UAC-0050 , y se sabe que el actor de amenazas lanzó software legítimo de acceso remoto como LiteManager y troyanos de acceso remoto como RemcoSRAT en ataques contra Ucrania.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha caracterizada El UAC-0050 como grupo mercenario asociado con los organismos encargados de hacer cumplir la ley rusos que conductas recopilación de datos, robo financiero y operaciones de información y psicológicas bajo la marca Fire Cells.
«Este ataque refleja el perfil de ataque repetitivo y bien establecido de Mercenary Akula, a la vez que ofrece un desarrollo notable», dijo BlueVoyant. «En primer lugar, sus ataques se han centrado principalmente en entidades con sede en Ucrania, especialmente en contadores y funcionarios financieros. Sin embargo, este incidente sugiere la posibilidad de investigar a las instituciones que apoyan a Ucrania en Europa occidental».
La revelación se produce cuando Ucrania reveló que los ciberataques rusos dirigidos a la infraestructura energética del país se centran cada vez más en recopilar información para guiar los ataques con misiles, en lugar de interrumpir inmediatamente las operaciones, The Record reportó .
enlacesLa empresa de ciberseguridad CrowdStrike, en su Informe global sobre amenazas , dijo que espera que los adversarios del nexo con Rusia sigan realizando operaciones agresivas con el objetivo de recopilar información de objetivos ucranianos y de los estados miembros de la OTAN.
Esto incluye los esfuerzos emprendidos por APARTAMENTO 29 (también conocidas como Cozy Bear y Midnight Blizzard) para explotar «sistemáticamente» la confianza, la credibilidad organizacional y la legitimidad de la plataforma como parte de las campañas de spear-phising dirigidas a organizaciones no gubernamentales (ONG) con sede en EE. UU. y a una entidad legal con sede en EE. UU. para obtener acceso no autorizado a las cuentas Microsoft de las víctimas.
«Cozy Bear logró comprometer o hacerse pasar por personas con las que los usuarios objetivo mantenían relaciones profesionales de confianza», dijo CrowdStrike. «Entre las personas que se hicieron pasar por empleados de filiales de ONG internacionales y organizaciones proucranianas».
«El adversario invirtió mucho para corroborar estas suplantaciones, utilizando las cuentas de correo electrónico legítimas de las personas comprometidas junto con canales de comunicación inútiles para reforzar la autenticidad».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS