Dos grupos de amenazas persistentes avanzadas (APT) probablemente vinculados a los gobiernos de Rusia y su estado títere Bielorrusia llevaron a cabo una campaña de phishing dirigida a civiles ucranianos que huían del bombardeo ilegal de sus hogares por parte de las fuerzas rusas, según nueva información publicada por Mandiant y las autoridades estadounidenses. .
Los dos grupos, registrados como UNC1151 y UNC2589 en la base de datos de Mandiant, utilizaron señuelos con temas de seguridad pública y emergencias humanitarias en dos campañas distintas.
UNC1151 se enfocó en entidades usando la línea de asunto “¿Qué hacer? Durante el bombardeo de artillería por parte de los sistemas de fuego de volea” para entregar el malware Microbackdoor, que puede manipular archivos, ejecutar comandos, tomar capturas de pantalla y recibir actualizaciones automáticas.
Mientras tanto, UNC2589, que se cree que estuvo detrás de los ataques de malware WhisperGate de enero de 2022 en Ucrania, utilizó un documento sobre la creación de un plan de evacuación para entregar una versión de la utilidad RemoteUtils, que puede descargar y cargar archivos, ejecutarlos de forma remota y lograr persistencia en el sistema de destino mediante la creación de un servicio de inicio.
También se cree que está entregando otros dos programas maliciosos: Grimplant, una puerta trasera codificada en Go que extrae información del sistema y ejecuta comandos transmitidos desde su infraestructura de comando y control (C2); y Graphsteel, un ladrón de información que parece ser una versión armada de un proyecto público de Github conocido como goLazagne, que también extrae información del sistema, incluidas las credenciales del navegador.
La Fuerza de Misión Nacional del Comando Cibernético de EE. UU. ha publicado múltiples indicadores de compromiso (IoC) relacionados con estas campañas, recopilados en colaboración con el Servicio de Seguridad de Ucrania (SBU). Estos IoC incluyen hasta 20 indicadores novedosos en varios formatos.
La SBU ha estado rastreando estas campañas y advirtió sobre ellas previamente, alertando a los usuarios sobre la posibilidad de que sean atacados de esta manera a fines de febrero.
En una alerta publicada en su página de Facebook el 28 de febrero, traducida utilizando los servicios de Google, la SBU advirtió que los correos electrónicos supuestamente en su nombre sobre los planes de evacuación eran falsos.
“De esta manera, el país agresor intenta instalar software de virus en las computadoras de los ucranianos y recopilar información confidencial”, dijo. “Le instamos a que no abra dichos correos electrónicos y que no siga los enlaces especificados. La SBU no envió ningún correo. Informamos a los ciudadanos exclusivamente a través de los canales oficiales de comunicación”.
Mientras tanto, los datos publicados a principios de julio por el Centro Estatal de Ciberdefensa de Ucrania (SCPC), una unidad dentro del Servicio Estatal de Comunicaciones Especiales y Protección de la Información (SSSCIP) del país, revelaron que durante el segundo trimestre calendario de 2022, Ucrania detectó y procesó 19 mil millones eventos cibernéticos potenciales, de los cuales 180.000 fueron sospechosos y 49.000 identificados como eventos críticos potenciales.
El número de incidentes cibernéticos registrados durante el segundo trimestre, es decir, eventos críticos identificados y procesados directamente por los analistas de seguridad, fue de 64, un 60 % más que en el primer trimestre.
Sin embargo, la cantidad de eventos de seguridad críticos que se originaron en direcciones IP ubicadas en Rusia se redujo en más de ocho veces, probablemente debido a varias medidas de bloqueo.
La mayoría de los eventos críticos en realidad se originaron en direcciones IP que estaban ubicadas geográficamente en los EE. UU., aunque debe tenerse en cuenta que esto no es una base para la atribución, sino simplemente una indicación de que los actores de amenazas están buscando las vías de ataque más fáciles posibles para alcanzar sus objetivos.
De hecho, según el informe del SCPC, la mayoría de los incidentes cibernéticos registrados estaban relacionados con grupos financiados por el gobierno ruso, y sus objetivos principales eran las organizaciones de medios y las autoridades gubernamentales y locales de Ucrania.
En términos de los tipos de eventos cibernéticos vistos, la gran mayoría fueron intentos de entregar malware, principalmente troyanos, adware o spyware, registradores de teclas y ladrones de información, con ransomware menos impactante durante el período. Los programas maliciosos más comúnmente observados contra objetivos ucranianos fueron Agent Tesla, XMRig, Formbook, GuLoader y Cobalt Strike.
