Actores de Amenaza APT28 (UAC-0028) Vinculados a Rusia Difunden Malware CredoMap_v2 en un Ataque de Phishing a Ucrania

En el transcurso de una guerra cibernética en curso, colectivos de hackers vinculados a Rusia están buscando nuevas formas de paralizar a las organizaciones ucranianas en el ámbito cibernético. El 6 de mayo de 2022, CERT-UA emitió una alerta advirtiendo sobre otro ataque de phishing dirigido a organismos estatales ucranianos. El ciberataque ha sido atribuido a la actividad maliciosa de notorias entidades respaldadas por el estado ruso actores de amenazas identificados como APT28 (también conocido como Fancy Bear APT) también rastreados como UAC-0028.

Análisis del ataque cibernético de APT28

El último ciberataque involucró el spoofing de correos electrónicos con actores de amenazas haciéndose pasar por un aviso de seguridad de CERT-UA. Los adversarios intentaron engañar a las víctimas para que abrieran un archivo RAR malicioso protegido con contraseña adjunto al correo electrónico que activaba una cadena de infección. Una vez abierto, este último contenía un archivo SFX que, a su vez, llevaba a desplegar un software malicioso llamado CredoMap_v2, la versión actualizada de un ladrón de información. El malware utilizado aplica el protocolo HTTP para la exfiltración de datos, lo que permite enviar credenciales robadas a un recurso web desplegado en la plataforma Pipedream de código abierto.

Según el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP), el grupo de hackers APT28/UAC-0028 también ha sido detectado detrás de una serie de ciberataques a la infraestructura crítica de Ucrania en marzo de 2022.

En otros ciberataques del grupo de hackers APT28, se observó a los actores de amenazas dirigirse a entidades gubernamentales europeas e instituciones militares. Aplicaron vectores de ataque similares, incluyendo correos electrónicos de phishing que distribuían cepas de malware tras habilitar un macro malicioso. Anteriormente, también se observó a los atacantes en una campaña de ciberespionaje distribuyendo el notorio troyano Zebrocy y malware Cannon a través de correos electrónicos que utilizaban el tema de tendencia relacionado con la catástrofe de Lion Air Boeing 737 como cebo de phishing.

Para minimizar los riesgos de infección por software malicioso, CERT-UA recomienda encarecidamente prestar mucha atención a los correos electrónicos con archivos adjuntos protegidos por contraseña y aquellos relacionados con los temas más recientes y de gran impacto en las noticias que pueden servir como cebos de phishing destinados a comprometer a las víctimas al abrir los archivos adjuntos. Las organizaciones deberían aplicar políticas de restricción de software que permitan bloquear archivos EXE a través de la configuración y medidas de seguridad del sistema operativo correspondiente.

Reglas Sigma para detectar ataques de APT28 (UAC-0028) utilizando malware CredoMap_v2

Para asegurar la detección proactiva de la actividad maliciosa asociada con APT28, incluyendo la última campaña CredoMap_v2, el equipo de SOC Prime ha desarrollado un conjunto de reglas Sigma dedicadas:

Reglas Sigma para detectar la actividad maliciosa de UAC-0028

Regístrate en la plataforma de SOC Prime’s Detection as Code para obtener todo el contenido relacionado con la reciente campaña APT28 contra Ucrania o realiza una búsqueda personalizada utilizando la etiqueta #UAC-0028 para descubrir otras detecciones relacionadas.

Los ingenieros de detección también pueden buscar fácilmente amenazas asociadas con la actividad maliciosa de UAC-0028 en el punto de mira con un módulo Quick Hunt dedicado de la plataforma.

Contexto MITRE ATT&CK®: Ataque de phishing de APT28

Para un contexto en profundidad sobre el más reciente ciberataque de phishing por APT28/UAC-0028 dirigido a Ucrania, los algoritmos de detección referenciados anteriormente están alineados con el marco MITRE ATT&CK que aborda las tácticas y técnicas apropiadas.