Alerta de Microsoft: Aumenta de nuevo el robo de credenciales COLDRIVER
En una reciente alerta de seguridad de Microsoftel famoso actor de amenazas conocido como COLDRIVER ha intensificado sus actividades de robo de credenciales, dirigiéndose a entidades estratégicamente importantes para Rusia. Al mismo tiempo, ha perfeccionado sus capacidades para eludir la detección, lo que plantea una preocupación cada vez mayor. El panorama de las de Microsoftque rastrea esta amenaza bajo el nombre de grupo Star Blizzard (antes SEABORGIUM), arroja luz sobre la gravedad del robo de credenciales COLDRIVER COLDRIVER. También identificado como Blue Callisto, BlueCharlie (o TAG-53), Calisto, Gossamer Bear y TA446, este adversario tiene como objetivo persistente a personas y organizaciones implicadas en asuntos internacionales, defensa y apoyo logístico a Ucrania. Además, las instituciones académicas y las empresas de seguridad de la información alineadas con los intereses estatales rusos no se libran.
Robo de credenciales COLDRIVER
Star Blizzard, supuestamente vinculada al Servicio Federal de Seguridad de Rusia (FSB), tiene un historial que se remonta al menos a 2017. El actor de la amenaza emplea dominios parecidos que imitan las páginas de inicio de sesión de las empresas objetivo, lo que demuestra una inclinación por la sofisticación. En agosto de 2023, Recorded Future descubrió 94 nuevos dominios asociados a la infraestructura de ataque de COLDRIVER. Estos dominios incluyen principalmente palabras clave relacionadas con la tecnología de la información y las criptomonedas, lo que demuestra la capacidad de adaptación del actor de la amenaza.
Actualización del malware COLDRIVER: técnicas de evasión dinámica
El aviso de seguridad de Microsoft observa un cambio en las tácticas de COLDRIVER, que desde abril de 2023 adopta scripts del lado del servidor para frustrar el escaneo automatizado de su infraestructura. A diferencia de hCaptcha, COLDRIVER ahora redirige las sesiones de navegación al servidor Evilginx. El código JavaScript del servidor evalúa las características del navegador y comprueba si existen plugins o herramientas de automatización como Selenium o PhantomJS. En función de la evaluación, el servidor redireccionador determina si debe proceder al redireccionamiento del navegador. Este enfoque dinámico tiene por objeto mejorar la capacidad de evasión.
Uso ingenioso de los servicios de marketing por correo electrónico
En una actualización digna de mención, Star Blizzard ha incorporado a sus campañas servicios de marketing por correo electrónico como HubSpot y MailerLite. Estos sirven como punto de partida para la cadena de redireccionamiento, que en última instancia conduce al servidor Evilginx, el centro de recolección de credenciales. El actor de la amenaza también utiliza un proveedor de servicios de nombres de dominio (DNS) para resolver la infraestructura de dominios registrados por el actor, lo que demuestra un enfoque multifacético para evadir las medidas de seguridad.
El juego del gato y el ratón con las medidas de seguridad
A pesar de los continuos cambios y mejoras en las tácticas de evasión, el objetivo principal de Star Blizzard sigue siendo el correo electrónico robo de credenciales. Los principales objetivos son los proveedores de correo electrónico basados en la nube, que alojan cuentas de correo electrónico personales y de organizaciones. Microsoft subraya el uso constante de servidores privados virtuales (VPS) dedicados para alojar la infraestructura controlada por el actor, lo que pone de relieve el compromiso del actor de la amenaza con las actividades de spear-phishing.
Respuesta internacional y sanciones
La gravedad de las actividades de Star Blizzard se ve subrayada por las respuestas internacionales. El Reino Unido ha acusado a Star Blizzard de intentar interferir en sus procesos políticos, lo que ha dado lugar a sanciones contra dos miembros identificados: Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets. El Departamento de Justicia de EE.UU. presentó una acusación contra estas personas, revelando su implicación en campañas de spear-phishing.
Preocupaciones de la Alianza de Inteligencia de los Cinco Ojos
La alianza de inteligencia Five Eyes, formada por Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, ha expresado su preocupación por las tácticas de Star Blizzard. El patrón de actuación de la amenaza incluye la suplantación de contactos conocidos, la creación de perfiles falsos en las redes sociales y el establecimiento de dominios maliciosos que se asemejan a organizaciones legítimas. Estas tácticas se emplean para iniciar ataques de spear-phishing, a menudo dirigidos a personas de alto perfil.
Desvelar las técnicas de Spear-Phishing
Los ataques de spear-phishing de Star Blizzard siguen una meticulosa fase de investigación y preparación, lo que permite el reconocimiento de sus objetivos. El uso de direcciones de correo electrónico personales es un movimiento estratégico para eludir los controles de seguridad de la red corporativa. El autor de la amenaza establece una relación antes de enviar enlaces que imitan páginas legítimas de inicio de sesión en servicios. Microsoft advierte de que hay que prestar especial atención a los correos electrónicos procedentes de cuentas Proton, utilizadas con frecuencia por Star Blizzard.
Ramificaciones jurídicas y recompensas de la justicia
En respuesta a la alerta sobre amenazas a la ciberseguridadla Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos implicó al FSB en operaciones de pirateo y filtración. El departamento acusó a los miembros de Star Blizzard de crear dominios de recolección de credenciales y de emplear herramientas para eludir la autenticación de dos factores. A pesar de las sanciones, el Departamento de Estado de Estados Unidos ha anunciado una recompensa de 10 millones de dólares por información que conduzca a la identificación de los miembros de Star Blizzard, lo que subraya la gravedad de la amenaza.
Opiniones de expertos e impacto mundial
Los expertos opinan sobre la situación, con Adam Meyers, jefe de Operaciones Contra Adversarios de CrowdStrike, destacando la evolución del robo de credenciales COLDRIVER. Originalmente dirigido a gobiernos, militares, grupos de reflexión y medios de comunicación vinculados a Ucrania, las tendencias de ataque COLDRIVER han ampliado sus objetivos. Se sospecha que Gossamer Bear utiliza medios de comunicación prorrusos para blanquear información obtenida mediante operaciones de recopilación, lo que muestra una evolución preocupante.
Respuesta diplomática internacional
En respuesta a las sanciones, la embajada rusa en el Reino Unido las tacha de "movimiento inútil". "movimiento inútil" y un "acto de teatro mal montado". El Presidente Vladimir Putin sugiere que las élites occidentales utilizan las sanciones para provocar conflictos en un intento de mantener su deslizante dominio. Este actualización de la advertencia de Microsoft añade una capa adicional a la compleja narrativa que rodea a COLDRIVER y sus actividades.
Conclusión
La amenaza COLDRIVER, manifestada a través de las intrincadas operaciones de Star Blizzard, exige una respuesta internacional coordinada. A medida que el panorama de riesgos de robo de credenciales evoluciona, la colaboración entre expertos en ciberseguridad, agencias de inteligencia y gobiernos se convierte en primordial. Vigilancia, adaptación de medidas de seguridady la concienciación pública son componentes cruciales para protección contra robo de credenciales COLDRIVER.
Las fuentes de este artículo incluyen artículos en The Hacker News y OWASP.