Las instituciones gubernamentales polacas han sido blanco de una campaña de malware a gran escala organizada por un actor estatal vinculado a Rusia llamado APT28.

“La campaña envió correos electrónicos con contenido destinado a despertar el interés del destinatario y persuadirlo para que haga clic en el enlace”, dijo el equipo de respuesta ante emergencias informáticas, CERT Polska, en un boletín del miércoles.

Al hacer clic en el enlace, la víctima es redirigida al dominio run.mocky[.]io, que, a su vez, se utiliza para redirigir a otro sitio legítimo llamado webhook[.]site, un servicio gratuito que permite a los desarrolladores inspeccionar los datos que se envían a través de un webhook, en un intento de evadir la detección.

El siguiente paso implica la descarga de un archivo ZIP desde webhook[.]site, que contiene el binario de la Calculadora de Windows que se hace pasar por un archivo de imagen JPG (“IMG-238279780.jpg.exe”), un archivo de script por lotes oculto y otro archivo DLL oculto (“WindowsCodecs.dll”).

Si la víctima ejecuta la aplicación, el archivo DLL malicioso se carga de manera lateral mediante una técnica llamada carga lateral de DLL para finalmente ejecutar el script por lotes, mientras que se muestran imágenes de una “mujer real en traje de baño junto con enlaces a sus cuentas reales en plataformas de redes sociales” en un navegador web para mantener el engaño.

Ciberseguridad
El script por lotes descarga simultáneamente una imagen JPG (“IMG-238279780.jpg”) desde webhook[.]site que posteriormente se renombra como un script CMD (“IMG-238279780.cmd) y se ejecuta, después de lo cual recupera la carga útil de la etapa final para recopilar información sobre el host comprometido y enviar los detalles de vuelta.

CERT Polska dijo que la cadena de ataque presenta similitudes con una campaña anterior que propagó una puerta trasera personalizada llamada HeadLace.

Cabe destacar que el abuso de servicios legítimos como Mocky y webhook[.]site es una táctica adoptada repetidamente por los actores de ATP28 para eludir la detección por parte del software de seguridad.

“Si su organización no utiliza los servicios mencionados anteriormente, le recomendamos que considere bloquear los dominios mencionados anteriormente en los dispositivos de borde”, agregó.

Campaña de Malware a Gran Escala
“Independientemente de si utiliza los sitios web mencionados anteriormente, también recomendamos filtrar los correos electrónicos para obtener enlaces en webhook.site y run.mocky.io, porque los casos de su uso legítimo en el contenido del correo electrónico son muy raros”.

El desarrollo llega días después de que los países de la OTAN acusaran al grupo respaldado por el Kremlin de llevar a cabo una campaña de espionaje cibernético a largo plazo dirigida a sus entidades políticas, instituciones estatales e infraestructura crítica.

Las actividades maliciosas de APT28 también se han expandido para atacar dispositivos iOS con el spyware XAgent, que fue detallado por primera vez por Trend Micro en relación con una campaña denominada Operación Pawn Storm en febrero de 2015.

Ciberseguridad
“Dirigiéndose principalmente a entidades políticas y gubernamentales en Europa Occidental, XAgent posee capacidades para el control remoto y la exfiltración de datos”, dijo Symantec, propiedad de Broadcom.

“Puede recopilar información sobre los contactos de los usuarios, mensajes, detalles del dispositivo, aplicaciones instaladas, capturas de pantalla y registros de llamadas. Estos datos podrían ser utilizados potencialmente para campañas de ingeniería social o spear-phishing”.

La noticia de los ataques de APT28 a entidades polacas también sigue a un aumento en los ataques motivados financieramente por grupos de ciberdelincuencia rusos como UAC-0006, que apuntaron a Ucrania en la segunda mitad de 2023, incluso cuando organizaciones en Rusia y Bielorrusia han sido atacadas por un actor estatal conocido como Midge para entregar malware capaz de saquear información sensible.