Los piratas informáticos rusos comprometen los correos electrónicos de la embajada para atacar a los gobiernos

Los analistas de seguridad han descubierto una reciente campaña de phishing de piratas informáticos rusos conocida como APT29 (Cozy Bear o Nobelium) dirigida a diplomáticos y entidades gubernamentales.

El APT29 es un actor patrocinado por el estado que se enfoca en el ciberespionaje y ha estado activo desde al menos 2014. Su alcance de orientación está determinado por los intereses estratégicos geopolíticos rusos actuales.

En una nueva campaña detectada por analistas de amenazas en Mandiant, APT29 se dirige a diplomáticos y varias agencias gubernamentales a través de múltiples campañas de phishing.

Los mensajes pretenden llevar importantes actualizaciones de políticas y se originan en direcciones de correo electrónico legítimas que pertenecen a embajadas.

Correo electrónico de phishing enviado a través de una cuenta comprometida
Correo electrónico de phishing enviado desde una cuenta comprometida (Mandiante)

Otro aspecto notable en esta campaña es el abuso de Atlassian Trello y otras plataformas legítimas de servicios en la nube para la comunicación de comando y control (C2).

Índice de contenidos
  1. Detalles de la campaña de phishing
  2. Caída de malware
  3. Movimiento lateral

Detalles de la campaña de phishing

La campaña de spear-phishing comenzó en enero de 2022 y continuó hasta marzo de 2022 en varias oleadas que giraron en varios temas y se basaron en múltiples direcciones de remitentes.

Cronología de la campaña de phishing
Cronología de la campaña de phishing (Mandiante)

En todos los casos, los correos electrónicos de phishing se originaron en una dirección de correo electrónico comprometida legítima que pertenece a un diplomático, por lo que los destinatarios confiarían más en el contenido entregado de esta manera.

Mandiant descubrió que las direcciones comprometidas inicialmente aparecían como puntos de contacto en los sitios web de las embajadas.

El correo electrónico utilizó la técnica de contrabando de HTML para entregar un archivo IMG o ISO al destinatario, una técnica que APT29 ha utilizado numerosas veces en el pasado con gran éxito, incluso en los ataques de SolarWinds.

El archivo ISO contiene un archivo de acceso directo de Windows (LNK) que ejecuta un archivo DLL malicioso incrustado cuando se hace clic.

Para engañar a la víctima para que haga clic, el archivo LNK pretende ser un archivo de documento con la extensión real oculta y un ícono falso.

Caída de malware

La ejecución de DLL da como resultado la entrega del descargador BEATDROP, que se ejecuta en la memoria después de crear un subproceso suspendido para inyectarse y se conecta a Trello para la comunicación C2.

Trello se usa ampliamente en entornos corporativos, por lo que es poco probable que el uso de su API para el tráfico de red malicioso genere señales críticas de los productos de seguridad.

En esfuerzos posteriores, APT29 reemplazó BEATDROP con un nuevo cargador C ++ BEACON basado en Cobalt Strike que presenta capacidades de nivel superior.

Estas capacidades incluyen registro de teclas, captura de pantalla, modo de servidor proxy, exfiltración de credenciales de cuenta, enumeración y escaneo de puertos.

Ambos cargadores implementaron BOOMIC, que Microsoft rastrea como VaporRage, descubierto y analizado en mayo de 2021. En muchos casos, BOOMIC se cargó lateralmente solo unos minutos después de que se implementó el cargador.

BOOMIC establece la persistencia modificando el registro de Windows y luego descarga varias cargas útiles de shellcode ofuscadas y las ejecuta en la memoria.

Mandiant observó varios sitios web comprometidos legítimos que funcionan como C2 de BOOMIC, lo que ayuda a evitar problemas de bloqueo de URL.

Flujo de infección de malware de APT29
Flujo de despliegue de malware de APT29 (Mandiante)

Movimiento lateral

Después de establecer una presencia en un entorno, APT29 aumenta los privilegios en menos de 12 horas, utilizando varios métodos, como escribir archivos que contienen vales de Kerberos.

Luego, realizan un amplio reconocimiento de la red para identificar puntos de pivote válidos y arrebatar contraseñas más valiosas y, finalmente, se mueven lateralmente colocando más balizas Cobalt Strike y luego BOOMIC en sistemas adyacentes.

“El análisis de SharedReality.dll lo identificó como un cuentagotas de solo memoria escrito en lenguaje Go que descifra y ejecuta una carga útil BEACON incrustada. La carga útil de BEACON se identificó como SMB BEACON que se comunica a través de SharedReality.dll Named Pipe”, dice Mandiant.

“Luego se observó APT29 utilizando la suplantación de un usuario privilegiado para copiar SharedReality.dll al directorio Temp de múltiples sistemas. Luego, el grupo lo implementó mediante una tarea programada denominada SharedRealitySvcDLC, que se instaló y ejecutó. Después de ejecutar la tarea programada, la tarea se eliminó inmediatamente "- Mandiant

Independientemente del seguimiento persistente y estricto de APT29 por parte de equipos de inteligencia de amenazas competentes, el grupo sigue siendo una amenaza de espionaje de alto nivel para objetivos de alto interés.

Descubre más contenido

Subir Change privacy settings