Grupos APT rusos intensifican ataques cibernéticos contra Ucrania

Mientras la guerra en Ucrania va y viene, con los arreglos de alto el fuego de hoy y los esfuerzos para evacuar de manera segura a la población civil, el conflicto continúa en el ciberespacio. Según los informes del Threat Analysis Group de Google, dos APT que apoyan al gobierno ruso están atacando objetivos ucranianos y un equipo chino está utilizando la situación actual para atacar objetivos europeos.

Las APT rusas y chinas apuntan a Ucrania y Europa

Las dos entidades prorrusas que Google destaca como punta de lanza de los ataques cibernéticos actuales contra objetivos ucranianos son Fancy Bear, también conocida como APT28 , y Ghostwriter, un grupo de amenazas activo y persistente que se vinculó con Bielorrusia a fines de 2021.

Google también informa un aumento de la actividad del APT llamadoMustang Panda, que está vinculado con actores chinos. El equipo chino actualmente se dirige a entidades con sede en Europa, utilizando señuelos de phishing que están relacionados con el conflicto en curso y la afluencia de refugiados en varios países europeos.

Los ataques de phishing lanzados por APT prorrusos utilizan direcciones de correo electrónico previamente comprometidas y redirigen a las víctimas potenciales a páginas controladas por APT, en gran medida un procedimiento de phishing estándar. Google detectó a Ghostwriter lanzando campañas de phishing contra entidades gubernamentales y militares ucranianas y polacas.

Google informó que varios dominios utilizados para el phishing de credenciales ya se han bloqueado a través de la funcionalidad de "navegación segura" de Google. Los dominios incluían nombres inusuales como "i dot ua-passport dot top" y "login dot credentials-email dot space".

Mustang Panda se aprovecha de la actual situación de refugiados

Mientras tanto, Mustang Panda de China está enviando señuelos de phishing a entidades europeas, adjuntando archivos maliciosos en los correos electrónicos con nombres que sugieren algún tipo de información importante o urgente. El informe de Google menciona archivos adjuntos con nombres de archivo como "Situación en las fronteras de la UE con Ucrania.zip". El archivo adjunto contendría un archivo ejecutable que funciona como un descargador para la carga útil final.

El Grupo de Análisis de Amenazas de Google ya ha realizado los arreglos necesarios y ha notificado a todas las entidades y autoridades en los países objetivo de las campañas de phishing.