Vinculado a Rusia, es conocido por atacar a organizaciones ucranianas con fines de espionaje y robo de datos
Entidades en Ucrania han sido blanco de una campaña de phishing diseñada para distribuir un troyano de acceso remoto llamado Remcos RAT.
"Los nombres de los archivos utilizan como señuelo palabras rusas relacionadas con el movimiento de tropas en Ucrania", dijo el investigador de Cisco Talos Guilherme Venere en un informe publicado la semana pasada. "El descargador de PowerShell se comunica con servidores geocercados ubicados en Rusia y Alemania para descargar el archivo ZIP de segunda etapa que contiene la puerta trasera Remcos".
La actividad ha sido atribuida con moderada confianza a un grupo de piratas informáticos ruso conocido como Gamaredon, que también se rastrea bajo los nombres de Aqua Blizzard, Armageddon, Blue Otso, BlueAlpha, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530 y Winterflounder.
El actor de amenazas, que se cree está afiliado al Servicio Federal de Seguridad de Rusia (FSB), es conocido por atacar a organizaciones ucranianas con fines de espionaje y robo de datos. Está operativo desde al menos 2013.
La última campaña se caracteriza por la distribución de archivos de acceso directo de Windows (LNK) comprimidos en archivos ZIP, camuflándolos como documentos de Microsoft Office relacionados con la guerra ruso-ucraniana en curso para engañar a los destinatarios y que los abran. Se cree que estos archivos se envían mediante correos electrónicos de phishing.
Los vínculos con Gamaredon provienen del uso de dos máquinas que se emplearon para crear los archivos de acceso directo maliciosos y que anteriormente fueron utilizadas por el actor de amenazas para fines similares.
Los archivos LNK vienen equipados con código PowerShell que es responsable de descargar y ejecutar el cmdlet de carga útil de la siguiente etapa Get-Command, así como de obtener un archivo señuelo que se muestra a la víctima para continuar con la artimaña.
La segunda etapa es otro archivo ZIP que contiene una DLL maliciosa que se ejecuta mediante una técnica conocida como carga lateral de DLL. La DLL es un cargador que descifra y ejecuta la carga útil final de Remcos desde los archivos cifrados presentes en el archivo.
La revelación surge después de que Silent Push detallara una campaña de phishing que utiliza sitios web engañosos para recopilar información contra ciudadanos rusos simpatizantes de Ucrania. Se cree que la actividad es obra de los Servicios de Inteligencia rusos o de un actor de amenazas aliado con Rusia.
La campaña consta de cuatro grandes grupos de phishing que se hacen pasar por la Agencia Central de Inteligencia de Estados Unidos (CIA), el Cuerpo de Voluntarios Rusos, Legion Liberty y Hochuzhit "Quiero vivir", una línea directa para recibir pedidos de miembros del servicio ruso en Ucrania para que se entreguen a las Fuerzas Armadas ucranianas.
Se descubrió que las páginas de phishing están alojadas en un proveedor de alojamiento a prueba de balas, Nybula LLC, y los actores de amenazas dependen de formularios de Google y respuestas por correo electrónico para recopilar información personal, incluidas sus opiniones políticas, malos hábitos y condición física, de las víctimas.
"Todas las campañas observadas han tenido características similares y un objetivo común: recopilar información personal de las víctimas que visitan el sitio web", afirmó Silent Push. "Es probable que estos honeypots de phishing sean obra de los servicios de inteligencia rusos o de un actor de amenazas alineado con los intereses rusos".
