Detección de Ataques de Ursa (también conocido como APT28): Adversarios Apuntan a Diplomáticos Usando un Coche en Venta como Señuelo de Phishing para Propagar el Malware HeadLace
Tabla de contenidos:
El nefasto colectivo de hacking patrocinado por el estado ruso APT28, también conocido como Fighting Ursa, está ganando atención. Desde principios de la primavera de 2024, los adversarios han estado atacando diplomáticos en una campaña ofensiva a largo plazo, utilizando un coche en venta como señuelo de phishing para distribuir el malware HeadLace.
Detectar Ataques de Fighting Ursa, también conocido como APT28, que Propagan el Malware HeadLace
La infraestructura en evolución continua del infame colectivo de hacking Fighting Ursa o APT28 subraya la necesidad de fortalecer las defensas de las organizaciones para ganar una ventaja competitiva contra los crecientes ciberataques del grupo. La Plataforma SOC Prime para la defensa cibernética colectiva recopila una colección de algoritmos de detección que ayudan a los equipos de seguridad a frustrar proactivamente los ataques de Fighting Ursa, incluida la última campaña contra diplomáticos que propaga el malware HeadLace.
Haga clic en el Explorar Detecciones botón a continuación para acceder a las reglas de Sigma curadas filtradas por la etiqueta correspondiente basada en el identificador del grupo. Los algoritmos de detección proporcionados están enriquecidos con inteligencia de amenazas relevante, mapeados al marco MITRE ATT&CK®, y están listos para convertirse instantáneamente en el formato de lenguaje SIEM, EDR o Data Lake elegido de entre más de 30 plataformas compatibles.
Los ingenieros de seguridad que buscan contenido de detección de alta calidad para analizar retrospectivamente los TTP de APT28 también pueden seguir este enlace. Para más contenido relacionado de SOC, las organizaciones pueden buscar en el Mercado de Detección de Amenazas de SOC Prime usando la etiqueta “Forest Blizzard” basado en otro grupo identificado o seguir este enlace.
Análisis de Ataques de Fighting Ursa
Los investigadores de Palo Alto han descubierto recientemente una campaña maliciosa en curso que apunta principalmente a diplomáticos y se atribuye al colectivo de hacking vinculado a Rusia seguido como Fighting Ursa (también conocido como APT28, Fancy Bear, Forest Blizzard, STRONTIUM, Pawn Storm, o Sofacy Group). Desde al menos marzo de 2024, un grupo notorio respaldado por la nación ha anunciado un coche en venta como señuelo de phishing para propagar un backdoor modular de Windows conocido como HeadLace, que opera en fases, probablemente para evitar la detección y obstaculizar el análisis del malware.
APT28, un grupo respaldado por la GRU asociado con la Unidad 26165 de la agencia de inteligencia militar de Rusia, ha sido observado en el ámbito de las amenazas cibernéticas durante dos décadas. Desde la invasión a gran escala de Rusia a Ucrania, la banda de hacking también ha estado lanzando una serie de campañas ofensivas aprovechando el vector de ataque de phishing, apuntando principalmente a cuerpos estatales de Ucrania junto con los aliados del país.
Cabe destacar que los grupos de hacking rusos han empleado temas de señuelo de phishing de coches diplomáticos en venta durante años. Estos señuelos a menudo son atractivos para diplomáticos, incitando a los objetivos a hacer clic en el contenido malicioso. En 2023, otro colectivo de hacking respaldado por Rusia conocido como APT29 (también conocido como NOBELIUM o CozyBear) ha estado utilizando un BMW a la venta como señuelo de phishing dirigido a misiones diplomáticas en Ucrania. Fighting Ursa es conocido por reutilizar estrategias de adversarios exitosas para sus propias operaciones ofensivas, mostrando patrones de comportamiento similares en la última campaña.
La cadena de infección se activa mediante una URL falsa alojada por el servicio legítimo Webhook.site. Fighting Ursa explotó el Webhook.site para crear una URL que entregara una página HTML maliciosa. El HTML armado contiene varios elementos diseñados para automatizar el ataque. Inicialmente, verifica si la computadora visitante funciona con Windows. En caso de que el sistema no sea basado en Windows, redirige al usuario objetivo a una imagen de señuelo alojada en ImgBB, específicamente un Audi Q7 Quattro SUV. El anuncio fraudulento se titula “Coche Diplomático en Venta”. Dado que la carga final tiene como objetivo Windows, es probable que esta verificación del sistema operativo asegure que las acciones subsiguientes solo se ejecuten para usuarios de Windows. Luego, el HTML genera un archivo ZIP a partir de texto en Base64 dentro del HTML, lo ofrece para descargar y trata de abrirlo mediante JavaScript.
El archivo malicioso contiene un ejecutable legítimo de la calculadora de Windows disfrazado como un archivo de imagen, un DLL, y un script por lotes. El ejecutable de la calculadora carga lateralmente el DLL malicioso, parte del backdoor HeadLace, que ejecuta el script por lotes. Este último ejecuta un comando codificado en Base64 para recuperar un archivo de otra URL de Webhook.site, lo guarda como un archivo de imagen en la carpeta de descargas, cambia la extensión del archivo a .cmd para su ejecución, y luego lo elimina para borrar cualquier rastro.
Con su infraestructura en constante evolución, uso de diversos señuelos y capacidad para reutilizar tácticas adversarias, Fighting Ursa sigue siendo un jugador persistente en el ámbito de las amenazas cibernéticas. La dependencia del grupo en servicios web legítimos para propósitos ofensivos anima a los defensores a restringir el acceso a tales servicios y a analizar su uso para reducir la superficie de ataque. Confíe en el Detective de Ataques de SOC Prime para maximizar la visibilidad de las amenazas y abordar eficazmente las brechas de cobertura de detección, obtener casos de uso de SIEM priorizados para generar fácilmente alertas de bajo ruido y alto valor, y entregar sin problemas la capacidad de caza para actuar más rápido que los atacantes.
