Home Ciberguerra Piratas informáticos utilizan guías falsas de Windows Update para atacar al gobierno...

Piratas informáticos utilizan guías falsas de Windows Update para atacar al gobierno ucraniano

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) afirma que delincuentes cibernéticos rusos están atacando a varios organismos gubernamentales del país con correos electrónicos maliciosos que supuestamente contienen instrucciones sobre cómo actualizar Windows para defenderse de los ciberataques.

CERT-UA cree que el grupo de ataque estatal ruso APT28 (también conocido como Fancy Bear) envió estos correos electrónicos y se hizo pasar por administradores de sistemas de las entidades gubernamentales objetivo para facilitar el engaño a sus objetivos.

Para ello, los atacantes crearon direcciones de correo electrónico @outlook.com utilizando nombres reales de empleados adquiridos por medios desconocidos en las fases preparatorias del ataque.

En lugar de instrucciones legítimas sobre la actualización de sistemas Windows, los correos electrónicos maliciosos aconsejan a los destinatarios que ejecuten un comando PowerShell.

Este comando descarga un script de PowerShell en el ordenador, simulando un proceso de actualización de Windows mientras descarga una segunda carga útil de PowerShell en segundo plano.

La segunda carga útil es una herramienta básica de recolección de información que abusa de los comandos ‘tasklist’ y ‘systeminfo’ para recopilar datos y enviarlos a una API de servicio de Mocky a través de una petición HTTP.

Mocky es una aplicación legítima que ayuda a los usuarios a generar respuestas HTTP personalizadas, de las que APT28 abusó en este caso para la exfiltración de datos.

CERT-UA recomienda que los administradores de sistemas restrinjan la capacidad de lanzar PowerShell en ordenadores críticos y monitoricen el tráfico de red en busca de conexiones a la API del servicio Mocky.

El Grupo de Análisis de Amenazas de Google informó recientemente de que aproximadamente el 60% de todos los correos electrónicos de phishing dirigidos a Ucrania en el primer trimestre de 2023 procedían de actores de amenazas rusos, destacando a APT28 como uno de los principales contribuyentes a esta actividad maliciosa.

A principios de mes, los servicios de inteligencia de EE.UU. y el Reino Unido y Cisco advirtieron de que la APT28 estaba explotando activamente un fallo de día cero que afectaba a los routers de la empresa para desplegar un malware llamado “Jaguar Tooth” con el fin de recopilar información de objetivos con sede en EE.UU. y la UE.

En marzo de 2023, Microsoft parcheó una vulnerabilidad de día cero de Outlook rastreada como CVE-2023-23397, que APT28 ha explotado desde abril de 2022 para penetrar en las redes de organizaciones gubernamentales, militares, energéticas y de transporte europeas.