Coronavirus COVID-19 y malware: dos amenazas más parecidas de lo ...

30 de julio de 2020

A fines de la semana pasada, las agencias de inteligencia en Canadá, el Reino Unido y los Estados Unidos identificaron al grupo de amenaza APT29 (también conocido como YTTRIUM, The Dukes, Cozy Bear 1 ) como responsable de un ataque dirigido contra organizaciones de investigación farmacéutica y académica involucradas en COVID. -19 desarrollo e investigación de vacunas. Estas y otras operaciones del grupo de amenazas APT29 parecen estar directamente respaldadas por el gobierno ruso. Se supone que el grupo de amenaza APT29 probablemente sea una parte integral del servicio de inteligencia ruso. 2 

El grupo de amenaza APT29 ha estado detrás de una larga serie de actividades maliciosas que se han identificado desde 2008. El grupo de amenaza APT29 es el mismo grupo implicado en la piratería criminal del Comité Nacional Demócrata que comenzó en el verano de 2015 y tenía la intención de influir las elecciones presidenciales de EE. UU. de 2016. Las campañas de phishing contra la Casa Blanca y otras agencias del gobierno de EE. UU. También se atribuyeron a APT29. 

El Centro Nacional de Seguridad Cibernética del Reino Unido señaló que el grupo de amenazas APT29 utiliza malware personalizado conocido como «WellMess» y «WellMail» en apoyo de este ataque contra el desarrollo de la vacuna COVID-19. Estos ataques recientes a la investigación de la vacuna COVID-19 son la primera vez que este malware WellMess y WellMail se ha asociado públicamente con el grupo de amenazas APT29.

El modus operandi del grupo de amenazas APT29 es utilizar exploits disponibles públicamente para vulnerabilidades conocidas para obtener credenciales de autenticación. En estos ataques muy recientes, se descubrió que APT29 realizaba análisis de vulnerabilidades contra las direcciones IP de las organizaciones objetivo. También han utilizado la suplantación de identidad (phishing) para obtener credenciales de autenticación para acceder a las páginas de inicio de sesión de Internet. 

APT29 luego implementa el malware WellMess para realizar operaciones en los sistemas comprometidos. El malware WellMail es una herramienta que ejecuta scripts o comandos y luego envía los resultados para que el servidor de comando y control (C2). Este malware se llama «WellMail», ya que el NCSC ha señalado la palabra «correo» en las rutas de los archivos en las muestras que analizaron. 3 El malware puede comunicarse con el servidor C2 a través de tres métodos de comunicación, que incluyen HTTP, HTTPS y DNS . 4 4 

APT29 sabe que DNS es un protocolo bien establecido y confiable. También entienden que muchas organizaciones aún no examinan su tráfico DNS en busca de actividad maliciosa. La tunelización de DNS permite al grupo de amenazas APT29 insertar malware o pasar información robada a las consultas de DNS, creando un canal de comunicación encubierto que evita la mayoría de los firewalls. El túnel DNS a menudo incluye cargas útiles de datos que pueden agregarse a un servidor DNS atacado y usarse para controlar un servidor remoto y aplicaciones.

El túnel DNS no requiere que el sistema comprometido tenga conectividad de red externa, ya que el túnel DNS implica el acceso a un servidor DNS interno con acceso a la red. El grupo de amenazas APT29 también debe controlar un dominio y un servidor que pueden actuar como un servidor autorizado para ejecutar el túnel del lado del servidor y los programas ejecutables de carga útil de datos.

Se puede hacer referencia a otras fuentes de información sobre este ataque aquí:

https://attack.mitre.org/groups/G0016/
https://www.healthcareitnews.com/news/russian-hackers-targeting-healthcare-orgs-coronavirus-vaccine-info
https: // www. ncsc.gov.uk/files/Advisory-APT29-targets-COVID-19-vaccine-development-V1-1.pdf
https://www.pwc.co.uk/issues/cyber-security-services/insights/ limpieza-después-wellmess.htm-1.pdf

[jetpack_subscription_form subscribe_placeholder=»Introduce tu dirección de correo electrónico» show_subscribers_total=»false» button_on_newline=»false» submit_button_text=»Registrarse» custom_background_emailfield_color=»undefined» custom_background_button_color=»undefined» custom_text_button_color=»undefined» custom_font_size=»16″ custom_border_radius=»0″ custom_border_weight=»1″ custom_border_color=»undefined» custom_padding=»15″ custom_spacing=»10″ submit_button_classes=»» email_field_classes=»» show_only_email_and_button=»true» ]