Los funcionarios de seguridad ucranianos advirtieron sobre los ataques continuos de InvisiMole, un grupo de piratería vinculado al grupo ruso de amenazas persistentes avanzadas (APT) Gamaredon.
La semana pasada, el Equipo de Respuesta a Emergencias Informáticas para Ucrania (CERT-UA) dijo que el departamento ha sido informado sobre nuevas campañas de phishing que se están llevando a cabo contra organizaciones ucranianas que difunden la puerta trasera LoadEdge.
Según CERT-UA, se envían correos electrónicos de phishing que tienen un archivo adjunto, 501_25_103.zip, junto con un archivo de acceso directo (LNK). Si se abre, un archivo de aplicación HTML (HTA) descarga y ejecuta VBScript diseñado para implementar LoadEdge.
Una vez que la puerta trasera ha formado un enlace a un servidor de comando y control (C2) de InvisiMole, se implementan y ejecutan otras cargas útiles de malware, incluido TunnelMole, malware que abusa del protocolo DNS para formar un túnel para la distribución de software malicioso, y tanto RC2FM como RC2CL. , que son módulos backdoor de recopilación de datos y vigilancia. La persistencia se mantiene a través del registro de Windows.
InvisiMole fue descubierto por primera vez por investigadores de ESET en 2018. Los actores de amenazas han estado activos desde al menos 2013 y se han relacionado con ataques contra organizaciones de «alto perfil» en Europa del Este que están involucradas en actividades militares y misiones diplomáticas.
En 2020, los investigadores de ciberseguridad forjaron un vínculo de colaboración entre InvisiMole y Gamaredon/Primitive Bear, el último de los cuales parece estar involucrado en la infiltración inicial de redes antes de que InvisiMole comience su propia operación.
«Descubrimos que el arsenal de InvisiMole solo se desató después de que otro grupo de amenazas, Gamaredon, ya se infiltró en la red de interés y posiblemente obtuvo privilegios administrativos», dijo ESET en ese momento. «Esto permite que el grupo InvisiMole idee formas creativas de operar bajo el radar».
Palo Alto Networks también ha estado rastreando a Gamaredon y, en febrero, dijo que la APT había intentado comprometer a una «entidad gubernamental occidental» no identificada en Ucrania a través de listados de trabajo falsos.
CERT-UA también comenzó a rastrear las actividades de Vermin/UAC-0020, un grupo que ha estado intentando ingresar a los sistemas de las autoridades estatales de Ucrania. Vermin ha estado utilizando el tema de los suministros en los correos electrónicos de phishing como señuelo y, si la víctima los abre, estos correos electrónicos contienen una carta y un archivo protegido con contraseña que contiene el malware Spectr.
En 2018, ESET y Palo Alto Networks publicaron una investigación sobre Vermin, un grupo que ha estado activo durante al menos los últimos cuatro años, aunque puede remontarse a 2015.
Vermin se centró en las instituciones gubernamentales de Ucrania desde el principio, siendo los troyanos de acceso remoto (RAT) Quasar, Sobaken y Vermin las herramientas maliciosas preferidas.
Si bien las variantes de Quasar y Sobaken se compilaron utilizando un código fuente abierto disponible gratuitamente, Vermin se denomina una RAT «hecha a medida» capaz de realizar actividades que incluyen exfiltración de datos, registro de teclas, grabación de audio y robo de credenciales.
En noticias relacionadas este mes, el Equipo Nautilus de Aqua Security dijo que los repositorios de nube pública se están utilizando para alojar recursos en ambos lados de la guerra, con el llamado de Ucrania para un «Ejército de TI» de voluntarios convirtiéndose en un catalizador para herramientas públicas para lanzar negación de Ataques de servicio (DoS) contra servicios rusos en línea.
Las organizaciones ucranianas no solo tienen que lidiar con las RAT y el malware basado en vigilancia. ESET ha detectado tres formas de malware de limpieza, diseñado para destruir archivos y recursos de la computadora, en lugar de robar información o espiar a las víctimas, en otras tantas semanas.
El último limpiaparabrisas, llamado CaddyWiper, se ha encontrado «en unas pocas docenas de sistemas en un número limitado de organizaciones», según ESET.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
