El grupo APT29 con sede en Rusia explotó los sistemas de intercambio de información para atacar a gobiernos :: Bitdefender blog

El grupo APT29 con sede en Rusia explotó los sistemas de intercambio de información para atacar a gobiernos

Noticia de Ciberseguridad - Mar 17, 2023


El grupo APT29 vinculado a Rusia fue descubierto recientemente explotando sistemas legítimos de intercambio de información europeos para lanzar ataques contra entidades gubernamentales.
 
La organización de delitos cibernéticos, también conocida como The Dukes, Cozy Bear, SVR Group y NOBELIUM, lanzó una campaña despiadada contra los sistemas de comunicación y las organizaciones diplomáticas.
 
Los perpetradores enviaron correos electrónicos de phishing con documentos armados con URL de descarga maliciosa incrustadas a sus objetivos.
 
Para tentar a las víctimas a acceder al enlace e infectar sus sistemas, los perpetradores utilizaron el cronograma del embajador de Polonia para 2023 como señuelo, junto con sistemas legítimos como eTrustEx y LegisWrite. Incluso alojaron el archivo malicioso en un sitio web legítimo de la biblioteca, presumiblemente comprometido a principios de este año.
 
“LegisWrite es un programa de edición que permite la creación, revisión e intercambio seguro de documentos entre gobiernos dentro de la Unión Europea”, se lee en el aviso de seguridad de Blackberry. “El hecho de que LegisWrite se use en el señuelo malicioso indica que el actor de amenazas detrás de este señuelo está apuntando específicamente a organizaciones estatales dentro de la Unión Europea”.
 
Acceder a los enlaces envenenados descargaría un archivo HTML en la máquina de la víctima. Tras el análisis, los investigadores revelaron que el documento era una iteración del cuentagotas de NOBELIUM, EnvyScout, rastreado como ROOTSAW.
 
Una vez descargado, EnvyScout aprovecha las técnicas de contrabando de HTML para colocar un archivo IMG o ISO adicional en las máquinas comprometidas. El contenido de los archivos de imágenes incluía varias cadenas encriptadas destinadas a promover la infección, lo que permitía a los perpetradores recolectar información, filtrarla a un centro de comando y lograr la persistencia en las computadoras de las víctimas.
 
“NOBELIUM recopila activamente información de inteligencia sobre los países que apoyan a Ucrania en la guerra ruso-ucraniana”, concluye el informe de Blackberry. "La superposición entre la visita del embajador de Polonia a los Estados Unidos y el señuelo utilizado en los ataques proporciona evidencia de que los actores de amenazas siguen cuidadosamente los eventos geopolíticos y los utilizan para aumentar su posibilidad de una infección exitosa".
 
 
Bitdefender Total Security, puede protegerlo contra las ciberamenazas gracias a su amplia biblioteca de características, que incluyen:
 
- Protección completa y continua contra gusanos, troyanos, virus, spyware, rootkits, exploits de día cero y otras amenazas electrónicas
- Módulo antiphishing que detecta y bloquea sitios web que se hacen pasar por legítimos para robar sus credenciales o activos
- Tecnología antispam que filtra mensajes irrelevantes y potencialmente peligrosos en la bandeja de entrada de su cliente de correo electrónico local (Thunderbird, Outlook)
- Módulo avanzado de defensa contra amenazas que monitorea las aplicaciones activas en su sistema y toma medidas instantáneas al detectar actividad sospechosa