El grupo ruso de ciberespionaje conocido como turla se observó aprovechando la infraestructura de ataque utilizada por un malware de décadas de antigüedad para entregar sus propias herramientas de reconocimiento y puerta trasera a objetivos en Ucrania.
La empresa propiedad de Google, Mandiant, está rastreando la operación bajo el nombre de clúster no categorizado. UNC4210dijo que los servidores secuestrados coincidían con una variante de un malware estándar cargado en VirusTotal en 2013 llamado ANDROMEDA (también conocido como Gamarue).
“UNC4210 volvió a registrar al menos tres dominios de comando y control (C2) de ANDROMEDA vencidos y comenzó a perfilar víctimas en septiembre de 2022 para implementar selectivamente KOPILUWAK y QUIETCANARY”, dijeron los investigadores de Mandiant en un análisis publicado la semana pasada.
Turla, también conocido con los nombres de Iron Hunter, Krypton, Uroburos, Venomous Bear y Waterbug, es un grupo de estado-nación de élite que se dirige principalmente a organizaciones gubernamentales, diplomáticas y militares que utilizan una gran cantidad de malware personalizado.
Desde el comienzo de la invasión militar rusa de Ucrania en febrero de 2022, el colectivo opositor ha estado vinculado a una serie de esfuerzos de phishing e inteligencia dirigidos a empresas con sede en el país.
En julio de 2022, el Grupo de análisis de amenazas (TAG) de Google reveló que Turla creó una aplicación de Android maliciosa para supuestamente «ayudar» a los hacktivistas pro-ucranianos a lanzar ataques de denegación de servicio distribuido (DDoS) contra sitios web rusos para comenzar.
El último descubrimiento de Mandiant muestra que Turla cooptó en secreto infecciones más antiguas como mecanismo de distribución de malware, sin mencionar el hecho de que ANDROMEDA se propaga a través de memorias USB infectadas.
«El malware propagado a través de USB sigue siendo un vector útil para obtener acceso inicial a las empresas», dijo la firma de inteligencia de amenazas.
En el incidente analizado por Mandiant, se informó que una memoria USB infectada se conectó a una organización ucraniana no identificada en diciembre de 2021, lo que finalmente resultó en la entrega de un artefacto ANDROMEDA desactualizado en el host, disfrazado como un archivo de enlace malicioso (.LNK). carpeta en la unidad USB.
Luego, el actor de amenazas reutilizó uno de los dominios inactivos que formaban parte de la infraestructura C2 extinta de ANDROMEDA, que volvió a registrar en enero de 2022, para perfilar a la víctima, utilizando el gotero de primera etapa KOPILUWAK, un programa de reconocimiento de red basado en JavaScript, entregado.
Dos días después, el 8 de septiembre de 2022, el ataque entró en su etapa final con la ejecución de un implante basado en .NET llamado QUIETCANARY (también conocido como Tunnus), lo que resultó en la exfiltración de archivos creados después del 1 de enero de 2021.
La artesanía empleada por Turla se alinea con relatos anteriores de los extensos esfuerzos de perfilado de víctimas del grupo que coincidieron con la Guerra Ruso-Ucraniana, y puede ayudarlos a adaptar sus esfuerzos de explotación posteriores para recopilar la inteligencia de interés para Rusia.
También es uno de los raros casos en los que se ha identificado una entidad de piratería dirigida a las víctimas de otra campaña de malware para promover sus propios objetivos estratégicos, mientras que al mismo tiempo disfraza su función.
“A medida que el malware ANDROMEDA heredado continúa propagándose desde dispositivos USB comprometidos, estos dominios recién registrados representan un riesgo ya que los nuevos actores de amenazas pueden tomar el control y entregar nuevo malware a las víctimas”, dijeron los investigadores.
“Esta técnica novedosa de reclamar dominios vencidos utilizados por malware generalizado con fines financieros puede permitir infracciones posteriores en una variedad de organizaciones. Además, es más probable que los defensores pasen por alto el malware y la infraestructura heredados cuando revisan una gran cantidad de alertas».
COLDRIVER apunta a laboratorios de investigación nuclear de EE. UU.
Los hallazgos también se producen cuando Reuters informó que otro grupo de amenazas ruso patrocinado por el estado, con nombre en código COLDRIVER (también conocido como Callisto o SEABORGIUM), había apuntado a tres laboratorios de investigación nuclear en los EE. UU. a principios de 2022.
Con ese fin, los ataques digitales involucraron la creación de páginas de inicio de sesión falsas para los Laboratorios Nacionales Brookhaven, Argonne y Lawrence Livermore para engañar a los científicos nucleares para que revelaran sus contraseñas.
La táctica es consistente con la conocida actividad de COLDRIVER descubierta recientemente, falsificando las páginas de inicio de sesión de consultorías de defensa e inteligencia, así como de ONG, grupos de expertos e instituciones de educación superior en el Reino Unido y los EE. UU.