El actor de amenazas vinculado a Rusia conocido como APT29 apuntó a las misiones diplomáticas europeas y los Ministerios de Relaciones Exteriores como parte de una serie de campañas de phishing lanzadas en octubre y noviembre de 2021.
Según ESET Informe de amenazas T3 2021 Compartido con The Hacker News, las intrusiones allanaron el camino para la implementación de Cobalt Strike Beacon en sistemas comprometidos, seguido de aprovechar el punto de apoyo para colocar malware adicional para recopilar información sobre los hosts y otras máquinas en la misma red.
También rastreado bajo los nombres The Dukes, Cozy Bear y Nobelium, el grupo de amenazas persistentes avanzadas es un grupo de ciberespionaje infame que ha estado activo durante más de una década, con sus ataques dirigidos a Europa y EE. por el compromiso de la cadena de suministro de SolarWinds, lo que provocó más infecciones en varias entidades aguas abajo, incluidas las agencias gubernamentales de EE. UU. en 2020.
Los ataques de spear-phishing comenzaron con un correo electrónico de phishing relacionado con el COVID-19 que se hace pasar por el Ministerio de Relaciones Exteriores de Irán y contiene un archivo adjunto HTML que, cuando se abre, solicita a los destinatarios que abran o guarden lo que parece ser un archivo de imagen de disco ISO (» Covid.iso»).
Si la víctima opta por abrir o descargar el archivo, «una pequeña pieza de JavaScript decodifica el archivo ISO, que está incrustado directamente en el archivo adjunto HTML». El archivo de imagen de disco, a su vez, incluye una aplicación HTML que se ejecuta mediante mshta.exe para ejecutar un fragmento de código de PowerShell que finalmente carga el Cobalt Strike Beacon en el sistema infectado.
ESET también caracterizó la dependencia de APT29 en imágenes de disco HTML e ISO (o archivos VHDX) como una técnica de evasión orquestada específicamente para evadir Mark of the Web (MOTO) protecciones, una función de seguridad introducida por Microsoft para determinar el origen de un archivo.
«Una imagen de disco ISO no propaga la llamada Marca de la Web a los archivos dentro de la imagen del disco», dijeron los investigadores. «Como tal, e incluso si la ISO se descargara de Internet, no se mostraría ninguna advertencia a la víctima cuando se abra la HTA».
Al obtener con éxito el acceso inicial, el actor de amenazas entregó una variedad de herramientas listas para usar para consultar el Active Directory del objetivo (AdFind), ejecutar comandos en una máquina remota utilizando el protocolo SMB (Sharp-SMBExec), llevar a cabo un reconocimiento (Vista nítida), e incluso un exploit para una falla de escalada de privilegios de Windows (CVE-2021-36934) para llevar a cabo ataques de seguimiento.
«Los últimos meses han demostrado que The Dukes son una seria amenaza para las organizaciones occidentales, especialmente en el sector diplomático», señalaron los investigadores. «Son muy persistentes, tienen una buena seguridad operativa y saben cómo crear mensajes de phishing convincentes».
