Grupos de APT utilizan documentos sobre Rusia y Ucrania como señuelo

  • Endpoint

Estos señuelos van desde escritos de aspecto oficial hasta noticias y anuncios de ofertas de trabajo, con el objetivo de robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas se extienden por todo el mundo, incluyendo América Latina y Asia.

Check Point Research ha observado que grupos de amenazas de todo el mundo están utilizando documentos con temática rusa y ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje. Dependiendo de los objetivos y de la región, los señuelos van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas de todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

Son tres los grupos APT que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes: El Machete, que ha atacado a víctimas de los sectores Financiero y Gubernamental de Nicaragua y Venezuela; Lyceum, posiblemente de la República Islámica de Irán, y cuyos ataque se centran en empresas energéticas de Israel y Arabia Saudí; y SideWinder, posiblemente de La India, con foco en Pakistán.

En cuanto al malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje, sus capacidades incluyen keylogging, recopilación de credenciales, robo de ficheros específicos, capturas de pantalla, eecogida de datos del portapapeles, y ejecución de comandos.

Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.

“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético”, alerta Eusebio Nieva, director técnico de Check Point Software para España. “Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”.