APT29

APT29 Descripción

APT29 ( Advanced Persistent Threat ) es un grupo de piratería que se origina en Rusia. Este grupo de piratería también actúa bajo los alias Cozy Bear, Cozy Duke, los Dukes y Office Monkeys. La banda cibernética tiene sus orígenes en el malware MiniDuke de 2008, y ha estado mejorando y actualizando continuamente su arsenal de piratería, así como sus estrategias e infraestructura de ataque. APT29 a menudo persigue objetivos de alto valor en todo el mundo. Los esfuerzos más recientes de APT29 se han centrado en robar datos de la vacuna COVID-19 de instituciones médicas de todo el mundo.

Algunos investigadores de ciberseguridad sospechan fuertemente que APT29 tiene vínculos estrechos con los servicios de inteligencia rusos y el Servicio Federal de Seguridad de Rusia (FSB), en particular.


Esta semana en Malware Episodio 19 Parte 1: Los piratas informáticos rusos APT29 apuntan a empresas de investigación de vacunas contra el coronavirus / COVID-19

Kit de herramientas y ataques notables

Independientemente del objetivo elegido, APT29 siempre realiza ataques en dos etapas con un troyano de puerta trasera y un lanzador de malware. El primero tiene como objetivo recuperar datos personales y enviarlos de vuelta a un servidor de comando y control remoto (C&C), mientras que el segundo hace el daño real, dependiendo de la organización objetivo. Los kits de herramientas están sujetos a actualizaciones y ajustes regulares para mejorar la evasión AV.
APT29 es un grupo de piratería bastante popular, ya que a menudo aparecen en los titulares debido a sus ataques dirigidos a organizaciones de alto perfil en todo el mundo: agencias gubernamentales, organizaciones militares, misiones diplomáticas, empresas de telecomunicaciones y varias entidades comerciales. Estos son algunos de los ataques más notables en los que APT29 supuestamente ha estado involucrado:

  • Las campañas de correo electrónico no deseado de 2014 que tenían como objetivo plantar el malware CozyDuke y Miniduke en institutos de investigación y agencias estatales en los EE. UU.
  • El ataque de spear-phishing de Cozy Bear de 2015 que paralizó el sistema de correo electrónico del Pentágono por un tiempo.
  • El ataque de Cozy Bear contra el Comité Nacional Demócrata antes de las elecciones presidenciales de 2016 en los Estados Unidos, así como la serie de redadas contra ONG y think tanks con sede en Estados Unidos.
  • El ataque de phishing del gobierno noruego de enero de 2017 que afectó al Partido Laborista del país, al Ministerio de Defensa y al Ministerio de Relaciones Exteriores.
  • La ola de infecciones Operation Ghost de 2019 que introdujo las nuevas familias de malware Polyglot Duke, RegDuke y FatDuke.

Sigue siendo fuerte doce años después

APT29 continúa persiguiendo objetivos de alto perfil en 2020. Hay informes de que este grupo de piratería ha atacado a varias instituciones de investigación médica ubicadas en los Estados Unidos, Canadá y el Reino Unido. Parecería que APT29 se dirige específicamente a instituciones médicas, que están directamente vinculadas a la investigación de COVID-19, incluido el desarrollo de una posible vacuna, así como tratamientos efectivos. APT29 escanea rangos de IP, que pertenecen a las instituciones médicas en cuestión y luego verifica si hay vulnerabilidades que pueda explotar. Una vez que APT29 viola con éxito una red objetivo, el grupo de piratería implementa el malware WellMess o la amenaza WellMail.

Las instituciones médicas seleccionadas no han proporcionado mucha información sobre el caso porque probablemente se trata de datos clasificados. Sin embargo, es seguro asumir que APT29 está buscando información y documentos clasificados con respecto a la investigación de COVID-19. Las herramientas de piratería que utiliza APT29 son capaces de obtener datos del host comprometido, así como de plantar amenazas adicionales en el sistema infectado.

Tenga cuidado con las nuevas estafas relacionadas con APT29

Muchos ciberdelincuentes están utilizando COVID-19 para propagar estafas de bajo nivel y diversas amenazas. Sin embargo, el caso del APT29 es mucho más interesante. Se puede especular que se trata de una operación de reconocimiento rusa que puede o no estar respaldada por el Kremlin.

Las instituciones médicas deben ser muy cautelosas con los ataques cibernéticos, ya que han estado en el ojo de la tormenta a lo largo de 2020. Es importante mantener todo su software actualizado, asegúrese de usar credenciales de inicio de sesión muy seguras, aplique todos los parches a su firmware y no olvide obtener un paquete de software antivirus moderno y de buena reputación.