Detección de Actividades del Adversario APT28: Nuevos Ataques de Phishing Dirigidos a Organizaciones Ucranianas y Polacas

[post-views]
diciembre 28, 2023 · 4 min de lectura
Detección de Actividades del Adversario APT28: Nuevos Ataques de Phishing Dirigidos a Organizaciones Ucranianas y Polacas

Durante la segunda mitad de diciembre de 2023, los investigadores en ciberseguridad descubrieron una serie de ataques de phishing contra agencias gubernamentales ucranianas y organizaciones polacas atribuibles a la infame nación rusa apoyada por el colectivo de hackers APT28. CERT-UA ha emitido recientemente una advertencia que cubre una visión en profundidad de los últimos ataques de APT28, desde el compromiso inicial hasta la amenaza al controlador de dominio en una hora.

Descripción del Ataque de Phishing de APT28

El 28 de diciembre de 2023, CERT-UA emitió una alerta de seguridad cubriendo una ola de nuevos ataques de phishing por parte del estado patrocinado por Rusia grupo APT28 (también conocido como Fancy Bear APT o UAC-0028) contra agencias gubernamentales ucranianas y varias organizaciones en Polonia. Los correos electrónicos de phishing enviados por adversarios contienen enlaces a archivos maliciosos destinados a infectar los sistemas objetivo con muestras de malware. 

Los enlaces maliciosos mencionados anteriormente redirigen a los usuarios objetivo a un sitio web que lleva a descargar un archivo de acceso directo mediante JavaScript y el protocolo de aplicación “search” (“ms-search”). Abrir el archivo de acceso directo ejecuta un comando PowerShell diseñado para descargar desde un recurso remoto (SMB) y lanzar además un documento falso, así como el intérprete de lenguaje de programación Python y el malware MASEPIE basado en Python. Este último descarga y lanza OPENSSH para el túnel, STEELHOOK, un script de PowerShell diseñado para el robo de datos de navegadores de Internet, y la puerta trasera OCEANMAP. Además, dentro de una hora desde el momento del compromiso inicial, se crean IMPACKET, SMBEXEC y otras herramientas ofensivas, facilitando el reconocimiento de red e intentos de movimiento lateral adicional.

MASEPIE del kit de herramientas del adversario del grupo es un malware basado en Python con capacidades principales diseñadas para la transferencia de archivos y la ejecución de comandos utilizando el protocolo TCP. Los datos se cifran mediante el algoritmo AES-128-CBC. La puerta trasera logra persistencia al crear una clave «SysUpdate» en la rama «Run» del registro del sistema operativo y un archivo LNK en el directorio de inicio.

La puerta trasera OCEANMAP aplicada es un malware basado en C# que utiliza IMAP para la ejecución de comandos. Los comandos se codifican en base64 dentro de borradores de correos electrónicos. El malware incluye un mecanismo de actualización de configuración, parcheando los archivos ejecutables de la puerta trasera y luego reiniciando el proceso. OCEANMAP logra persistencia al crear un archivo “VMSearch.url” en el directorio de inicio.

Las TTPs observadas son comunes para el grupo APT28 que ha lanzado campañas de spear-phishing contra Ucrania al menos desde junio de 2021, aprovechando el malware de ciberespionaje para infectar las redes objetivo.

Notablemente, las últimas campañas ofensivas revelan que los actores de la amenaza han estado esforzándose por expandir el alcance de los ataques e infectar todo el sistema de información y comunicación a nivel organizativo. Así, comprometer cualquier estación de trabajo puede suponer una amenaza para toda la red. 

Detectar Ataques APT28 Cubiertos en la Alerta CERT-UA#8399

El grupo APT28 respaldado por Rusia está explorando continuamente nuevas estrategias ofensivas para dirigirse a Ucrania y sus aliados en el ámbito cibernético. Con el lanzamiento de la nueva alerta CERT-UA#8399 enfocada en la última actividad adversaria contra organizaciones ucranianas y polacas, la Plataforma SOC Prime ofrece una lista curada de algoritmos de detección basados en comportamientos relevantes. Siga el enlace a continuación para profundizar en todas las reglas Sigma dedicadas filtradas por la etiqueta personalizada “CERT-UA#8399”, explore sus traducciones multiplataforma y profundice en el contexto MITRE ATT&CK® para una atribución de ataques más rápida.

Reglas Sigma para detectar ataques APT28 basadas en la alerta CERT-UA#8399

Para fortalecer las capacidades proactivas de defensa cibernética, las organizaciones progresistas pueden aprovechar todo el conjunto de detección relacionado con las operaciones ofensivas de APT28. Presione Explore Detections para llegar a más de 70 reglas Sigma enriquecidas con contexto que abordan las amenazas existentes y emergentes atribuidas a la actividad del adversario del grupo. 

Explore Detections

Los ingenieros de seguridad también pueden optimizar la coincidencia retroactiva de IOC basada en indicadores de compromiso del informe CERT-UA relevante aprovechando Uncoder IO. Con el IDE de código abierto para Ingeniería de Detección, los equipos pueden analizar la inteligencia de amenazas del alerta CERT-UA y convertirla en consultas IOC personalizadas adaptadas para el lenguaje de ciberseguridad en uso.

Confíe en Uncoder IO para buscar instantáneamente IOCs de la investigación CERT-UA#8399

Contexto MITRE ATT&CK

Aprovechar MITRE ATT&CK ofrece una visibilidad granular en el contexto de las operaciones ofensivas atribuidas a APT28. Explore la tabla a continuación para ver la lista completa de reglas Sigma dedicadas que abordan las tácticas, técnicas y sub-técnicas de ATT&CK correspondientes utilizadas en la última campaña contra el sector público ucraniano y organizaciones polacas.

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing: Spearphishing Attachment

(T1566.001)

Execution

Command and Scripting Interpreter: PowerShell (T1059.001)

Command and Scripting Interpreter: Windows Command Shell (T1059.003)

Command and Scripting Interpreter: Visual Basic (T1059.005)

Command and Scripting Interpreter: Python (T1059.006)

Command and Scripting Interpreter: JavaScript (T1059.007)

User Execution: Malicious Link (T1204.001)

User Execution: Malicious File (T1204.002)

Persistence

Boot or Logon Autostart Execution (T1547)

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001)

Defense Evasion 

System Binary Proxy Execution: Regsvr32 (T1218.010)

Hide Artifacts: Hidden Windows (T1564.003)

Masquerading (T1036)

Lateral Movement

Remote Services: SMB / Windows Admin Shares (T1021.002)

Collection

Archive Collected Data (T1560)

Command and Control

Protocol Tunneling (T1572)

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas