El personal de las organizaciones involucradas en los esfuerzos para ayudar a los refugiados del conflicto en Ucrania ha sido blanco de lo que los investigadores de seguridad describen como una probable campaña de phishing patrocinada por el estado que tiene como objetivo entregar malware.
Detallado por Proofpoint, se cree que el ataque explotó una cuenta de correo electrónico personal comprometida perteneciente a un miembro de las fuerzas armadas ucranianas, que luego se usó para enviar ataques de phishing dirigidos a trabajadores del gobierno europeo encargados de administrar el transporte en Europa, mientras los refugiados ucranianos huyen de Rusia. invasión.
Es probable que el objetivo de los ataques sea un intento de obtener información de inteligencia dentro de los países miembros de la OTAN. Los investigadores vincularon tentativamente la campaña a un grupo de piratería conocido como TA445, parte de una operación más amplia conocida como UNC1151, que anteriormente se vinculó al gobierno de Bielorrusia.
VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)
Sin embargo, los investigadores también señalan que «aún no han observado superposiciones técnicas concretas que nos permitan atribuir definitivamente esta campaña».
Los correos electrónicos de phishing iniciales se detectaron el 24 de febrero, se originaron en una dirección de correo electrónico ucraniana y se enviaron a una agencia gubernamental europea no revelada. La línea de asunto hace referencia a la emergencia en Ucrania e incluye un archivo de Excel llamado «lista de personas», que contiene las macros maliciosas. Si las macros están habilitadas, el documento descargará e instalará malware.
Apodado SunSeed, el malware parece ser un descargador diseñado para entregar cargas útiles adicionales. Se cree que el propósito de estos ataques es rastrear a las personas con responsabilidades relacionadas con el transporte, la asignación financiera y presupuestaria, la administración y el movimiento de población dentro de Europa, potencialmente con el objetivo de obtener inteligencia sobre los movimientos de fondos, suministros y personas.
Los investigadores también señalan que TA445 tiene un historial de impulsar campañas de desinformación destinadas a generar un sentimiento anti-refugiados y si esta campaña de phishing está vinculada al grupo, la información robada podría ser objeto de abuso para impulsar operaciones similares.
El análisis de Proofpoint de esta campaña de phishing dirigida a la ayuda a los refugiados se produce después de una advertencia del Equipo de Respuesta a Emergencias Informáticas para Ucrania (CERT-UA) de que los ataques de phishing, incluidos los que se cree que son de origen bielorruso, intentan comprometer objetivos en Ucrania.
Se cree que las campañas diseñadas para atacar a los gobiernos europeos y al personal involucrado en ayudar a los refugiados continuarán mientras la guerra siga desplazando a la gente.
«Esta campaña representa un esfuerzo para apuntar a entidades de la OTAN con cuentas militares ucranianas comprometidas durante un período activo de conflicto armado entre Rusia, sus representantes y Ucrania. Si bien las técnicas utilizadas en esta campaña no son innovadoras individualmente, si se implementan colectivamente, y durante un conflicto de alto ritmo, poseen la capacidad de ser bastante efectivos», dijeron los investigadores de Proofpoint en la publicación del blog.
«Ser consciente de esta amenaza y divulgarla públicamente es fundamental para crear conciencia entre las entidades objetivo», agregaron.
Varias otras campañas de phishing también están tratando de explotar la guerra entre Rusia y Ucrania en lo que probablemente sean intentos de robar contraseñas, información financiera y otros datos confidenciales, así como potencialmente entregar malware. Microsoft ha detallado una serie de lo que se describe como «campañas de phishing oportunistas» utilizando campañas de phishing personalizadas relacionadas con Ucrania.
Ucrania se enfrentó a varios ataques cibernéticos y campañas de malware en el período previo a la invasión rusa, incluidos ataques de limpiaparabrisas dirigidos a redes gubernamentales y otras organizaciones.
