Las misiones diplomáticas extranjeras y las organizaciones no gubernamentales (ONG) en Ucrania no protegen adecuadamente a su personal de ataques básicos de phishing, lo que pone al personal gubernamental y a la seguridad nacional en riesgo extremo, según una investigación que analiza una campaña repetida que utiliza señuelos prácticamente idénticos, sin cambios desde años pasados.
El año pasado, el equipo de investigación de la Unidad 42 de Palo Alto Networks informó sobre una serie de intentos de phishing rastreados hasta el grupo Cozy Bear o APT29, en los que los rusos se hacían pasar por un funcionario polaco que se retiraba de Kiev y buscaba vender un BMW Serie 5 casi nuevo. .
Descrita como de “alcance asombroso” para una misión clandestina de amenaza persistente avanzada (APT), la Unidad 42 reveló que Cozy Bear apuntó a diplomáticos de Albania, Argentina, Canadá, Chipre, Dinamarca, Estonia, Grecia, Irak, Irlanda, Kuwait, Kirguistán y Letonia. , Libia, Países Bajos, Noruega, Eslovaquia, España, Sudán, Turquía, Turkmenistán, Estados Unidos y Uzbekistán.
Un año después, el equipo de la Unidad 42 regresó a la escena del crimen solo para descubrir que otro miembro del personal inexistente, esta vez en la agencia del Centro de Aplicación de la Ley del Sudeste de Europa (SELEC), con sede en Bucarest, está tratando de deshacerse de un SUV Audi Q7 Quattro.
Pero esta vez, la campaña no está dirigida por Cozy Bear, sino por un grupo APT completamente diferente, Fancy Bear, también conocido como APT28 o, en el rolodex de la Unidad 42, Fighting Ursa.
Esta campaña parece remontarse a marzo de 2024 y no parece tener relación con la campaña Cozy Bear, dijo Unit 42. El equipo dijo que había podido atribuir la campaña Audi 2024 a Fancy Bear, a diferencia de Cozy Bear, con un grado de confianza medio a alto.
“Los actores de amenazas rusos han utilizado durante años los temas de señuelo de phishing de venta de coches diplomáticos. Estos señuelos tienden a resonar entre los diplomáticos y hacer que los objetivos hagan clic en el contenido malicioso”, dijo el equipo.
“La similitud en las tácticas apunta a comportamientos conocidos de Fighting Ursa. El grupo Fighting Ursa es conocido por reutilizar tácticas exitosas, incluso explotando continuamente vulnerabilidades conocidas durante 20 meses después de que su tapadera ya fuera descubierta”, dijeron.
En la campaña de Fancy Bear, se utilizó el servicio legítimo Webhook.site para crear una URL que, al hacer clic, devolvía una página HTML maliciosa. Cuando se hacía clic en la URL, la página HTML primero verificaba si la computadora visitante ejecutaba Windows y, si era así, creaba un archivo ZIP e intentaba abrirlo con la función de clic de JavaScript.
Este archivo, guardado como IMG-387470302099.zip, contiene tres archivos que funcionan en conjunto para descargar y ejecutar el malware de puerta trasera HeadLace de Fancy Bear en el sistema de la víctima, brindando al grupo un acceso más profundo a la organización objetivo.
La Unidad 42 dijo que el uso por parte de Fancy Bear de un servicio web legítimo en su cadena de ataque dio a las organizaciones en riesgo de ser víctimas una oportunidad de luchar para adelantarse a sus campañas.
“Evaluamos que Fighting Ursa continuará utilizando servicios web legítimos en su infraestructura de ataque”, dijeron. “Para defenderse de estos ataques, los defensores deberían limitar el acceso a estos u otros servicios de alojamiento similares según sea necesario. Si es posible, las organizaciones deberían examinar el uso de estos servicios gratuitos para identificar posibles vectores de ataque”.
¿Dos osos son mejores que uno?
Por lo general, se cree que Cozy Bear y Fancy Bear operan dentro de diferentes agencias de la máquina de inteligencia rusa.
Se considera que Cozy Bear está conectado con el Servicio de Inteligencia Exterior (SVR) de Moscú, que depende directamente del dictador ruso Vladimir Putin.
Mientras tanto, Fancy Bear suele estar vinculado a la agencia de inteligencia militar, la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU), que está subordinada al mando militar ruso.
Sin embargo, tanto el SVR como el GRU son en sí mismos agencias sucesoras de la KGB de la era de la Guerra Fría, y dado que sus objetivos se alinean con los objetivos geopolíticos generales de Rusia, no sorprende que haya cierta superposición entre las dos operaciones.
De hecho, se ha observado que tanto Cozy Bear como Fancy Bear colaboran en el pasado y, a veces, cuando lo hacen, se les ha rastreado como Grizzly Steppe.