Escrito por Chris Duckett,
El Grupo de Análisis de Amenazas (TAG) de Google ha proporcionado una actualización sobre la actividad cibernética en Europa del Este, que sigue a su misiva de marzo.
En general, TAG dijo que los actores de amenazas estaban utilizando cada vez más la invasión rusa de Ucrania como un señuelo de phishing y malware, y estaban apuntando a infraestructura crítica como petróleo y gas, telecomunicaciones y manufactura.
“Los actores respaldados por el gobierno de China, Irán, Corea del Norte y Rusia, así como varios grupos no identificados, han utilizado varios temas relacionados con la guerra de Ucrania en un esfuerzo por lograr que los objetivos abran correos electrónicos maliciosos o hagan clic en enlaces maliciosos”, dijo TAG.
«Los actores criminales y motivados financieramente también están utilizando los eventos actuales como un medio para atacar a los usuarios».
Demostrando que cualquier objetivo es un juego limpio, TAG detalló el caso del grupo Curious Gorge, vinculado a la Fuerza de Apoyo Estratégico del Ejército Popular de Liberación de China, que ha estado buscando objetivos en Rusia, Ucrania y Asia Central.
“En Rusia, han continuado las campañas de larga duración contra múltiples organizaciones gubernamentales, incluido el Ministerio de Relaciones Exteriores. Durante la semana pasada, TAG identificó compromisos adicionales que afectaron a múltiples contratistas y fabricantes de defensa rusos, y una empresa de logística rusa”, dijo.
Otro grupo chino conocido como Bronze President, Mustang Panda, TA416 o RedDelta ha centrado recientemente su atención en Rusia.
«Esto sugiere que los actores de amenazas han recibido tareas actualizadas que reflejan los cambiantes requisitos de recopilación de inteligencia de la República Popular China (RPC)», dijeron investigadores de Secureworks.
Desde el lado ruso, TAG dijo que el grupo Fancy Bear, respaldado por el estado, persiguió objetivos en Ucrania con malware creado con .Net para enviar por correo electrónico cookies y contraseñas de los navegadores Chrome, Edge y Firefox a una cuenta comprometida.
Mientras tanto, el grupo Turla, alineado con el FSB, estaba realizando campañas contra entidades de defensa y ciberseguridad de las naciones bálticas utilizando archivos docx maliciosos, y Coldriver continuó usando cuentas de Gmail comprometidas para atacar a funcionarios gubernamentales y de defensa, políticos, ONG, grupos de expertos y periodistas con información maliciosa. archivos destinados a llevarlos a un dominio de phishing.
Para no quedarse fuera, el actor bielorruso Ghostwriter ha reanudado el phishing para perseguir las cuentas de Gmail, pero hasta ahora no ha tenido resultados, dijo TAG. El grupo también llevó a cabo una campaña de phishing en Facebook dirigida principalmente a los lituanos.
«Después del descubrimiento, todos los sitios web y dominios identificados se agregaron a Navegación segura para proteger a los usuarios de una mayor explotación. También enviamos a todos los usuarios específicos de Gmail y Workspace alertas de atacantes respaldadas por el gobierno para notificarles sobre la actividad», dijo TAG.
La semana pasada, Microsoft dijo que había visto a seis grupos patrocinados por el estado ruso lanzar 237 ciberataques contra Ucrania en las semanas previas a la invasión.
