Los ciberdelincuentes rusos atacan organizaciones occidentales con vulnerabilidades ya parcheadas

Si ayer vimos el último informe de Microsoft centrado en las actividades cibercriminales pro-rusas de este año, Proofpoint ha informado también de dos campañas dirigidas a organizaciones gubernamentales y a empresas privadas de Norteamérica y Europa. Los ataques, dirigidos a los sectores aeroespacial, educativo, financiero, industrial y tecnológico, han sido masivos, con hasta 10.000 emails.

La compañía atribuye ambas campañas a TA422, un grupo ruso de ciberdelincuentes también conocido como APT28, Forest Blizzard, Pawn Storm, Fancy Bear o BlueDelta, y que de hecho también figura en el informe de Microsoft. Los correos maliciosos partieron de direcciones de Portugalmail y suplantaban la identidad de instituciones oficiales, aprovechando la Cumbre BRICS y una reunión del Parlamento Europeo como cebos para los destinatarios.

Según Proofpoint, las campañas aprovecharon la vulnerabilidad CVE-2023-23397 de elevación de privilegios de Microsoft Outlook, que facilita la explotación de archivos TNEF y permite iniciar la negociación NTLM, logrando un hash de la contraseña NTLM. También se sirvieron de la vulnerabilidad CVE-2023-38831 en WinRAR, que ejecuta remotamente un código arbitrario al ver un documento dentro de un archivo ZIP. Ambas vulnerabilidades ya habían sido parcheadas.

Según Greg Lesnewich, investigador de amenazas en Proofpoint, “las acciones de este grupo APT ruso indican que buscan descubrir redes fácilmente explotables que tengan interés estratégico para sus adversarios; sin embargo, no está claro si la enorme cantidad de correos electrónicos que han enviado ha sido una decisión táctica o un error. En cualquier caso, las payloads, tácticas y técnicas utilizadas en estas campañas reflejan un cambio en TA422, que ha pasado de compilar malware para el acceso persistente a sus redes objetivo a un acceso más orientado a las credenciales”.