Actores de Amenaza Aprovechan Correos Electrónicos de Spear-Phishing Imitando el Servicio UKR.NET para Espionaje

Este artículo resalta la investigación original proporcionada por CERT-UA: https://cert.gov.ua/article/37788 

El 16 de marzo de 2022, el Equipo de Respuesta a Emergencias Informáticas de Ucrania CERT-UA identificó una campaña de spear-phishing dirigida a infectar organizaciones ucranianas con software malicioso de ciberespionaje. Con un bajo nivel de confianza, dada las tácticas utilizadas, CERT-UA asocia la actividad identificada con uno de los principales colectivos APT28 respaldados por Rusia (UAC-0028). El spear-phishing ha sido el vector principal de los ataques de APT28 al menos desde junio de 2021. Los siguientes pasos de los adversarios incluyen la exfiltración de datos o el uso de los correos electrónicos comprometidos para realizar más ataques de spear-phishing a objetivos precisos.

Campaña de Spear-Phishing Infecta Organizaciones Ucranianas con Spyware: Investigación de CERT-UA

La investigación de CERT-UA revela una campaña de spear-phishing que distribuye correos electrónicos que imitan mensajes de UKR.NET y contienen un código QR con una URL codificada creada mediante uno de los servicios de acortamiento de URL. Al abrir esta URL, la víctima es redirigida a un sitio web que intenta suplantar la página de restablecimiento de contraseña de UKR.NET. Los datos ingresados por el usuario mediante una solicitud HTTP POST se envían a un recurso web desplegado por los atacantes en la plataforma Pipedream.

Gráficos proporcionados por CERT-UA que ilustran la campaña de spear-phishing dirigida a la entrega de spyware

Indicadores de Compromiso (IOCs) Globales

hxxps://tinyurl[.]com/2p8kpb9v
hxxps://panelunregistertle-348.frge[.]io/
hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
panelunregistertle-348.frge[.]io
eo9p1d2bfmioiot.m.pipedream[.]net
eoiw8lhjwuc3sh2.m.pipedream[.]net
frge[.]io (2021-04-21)
pipedream[.]net (sitio web legítimo)

Consultas de Búsqueda Basadas en IOC para Detectar Phishing Atraído por UKR.NET

Para permitir que los profesionales de la seguridad conviertan automáticamente los IOCs mencionados anteriormente en consultas de búsqueda personalizadas listas para ejecutarse en casi 20 de los entornos SIEM o XDR más populares, la Plataforma SOC Prime ofrece la herramienta Uncoder CTI — ahora disponible de forma gratuita para todos los usuarios registrados hasta el 25 de mayo de 2022.

Manténgase al frente de las amenazas cibernéticas en constante mutación y no deje que los atacantes comprometan las cuentas de sus organizaciones y las exploten para sus propósitos maliciosos. Un enfoque de defensa cibernética colaborativa permite optimizar el contenido de detección de amenazas más nuevo y preciso. Regístrese en la plataforma Detection as Code de SOC Prime ahora mismo para obtener acceso a 23,000 reglas de detección seleccionadas que ayudan a mejorar su defensa cibernética.

En vista de las amenazas cibernéticas rusas en escalada, SOC Prime proporciona más de 2,000 reglas Sigma para identificar posibles ciberataques con origen en Rusia contra su infraestructura. Notablemente, todas estas detecciones están actualmente disponibles sin cargo bajo la última promoción Quick Hunt de SOC Prime. Solo busque en nuestra plataforma Detection as Code con #stopwar, #stoprussian, y #stoprussianagression etiquetas y comience a buscar de inmediato con el módulo Quick Hunt. Puede aprender más sobre la promoción Quick Hunt en nuestro artículo dedicado.