ClickCease La APT rusa apunta al servidor Storm-0156 para sus campañas de ataque - TuxCare

Compruebe el estado de las CVE. Más información.

Según informes recientesse ha observado a un grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia en una campaña de ataque que hasta ahora no estaba documentada. Turla, la APT rusa, ha lanzado una campaña de ataque centrada en infiltrarse en el servidor de mando y control (C2) perteneciente a un grupo de piratas informáticos con sede en Pakistán, Strom-0156.

En este artículo, examinaremos las tácticas de ataque de los actores de amenazas, sus herramientas y tecnologías, y mucho más. Comencemos. 

APT rusos rusos: Visión general

Las prolongadas actividades maliciosas de las APT rusa fueron identificadas inicialmente por Black Lotus Labs de Lumen. Cabe destacar que la APT se hace llamar "Ventisca Secreta" o "Turla". La organización de investigación de ciberseguridad supervisó una diversa gama de actores de amenazas respaldados por el estado que explotaban los servidores C2 de otros grupos de hackers para sus propias iniciativas.

Trabajar con una estrategia de este tipo permite al grupo APT adquirir archivos sensibles sin recurrir a la exfiltración desde redes comprometidas, la exposición de sus propias herramientas o la atribución retardada. Al comentar este escenario de ataque, los expertos han declarado que:

"En escenarios en los que los otros actores de amenazas no han adquirido todos los datos de interés sobre sus objetivos, pueden buscar en los datos recopilados en los nodos C2 materiales de autenticación robados para obtener acceso o utilizar el acceso existente para ampliar la recopilación y desplegar sus agentes en una red. Al hacerlo, Secret Blizzard se aprovecha esencialmente del punto de apoyo creado por el actor de la amenaza original".

Aunque la técnica de recogida de datos utilizada por la APT rusa ofrece ventajas únicas, un actor de amenazas se limitaría a recopilar datos o acceder únicamente a las redes controladas por el nodo C2. Según la organización de investigación sobre ciberamenazas:

"Secret Blizzard siguió explotando las relaciones de confianza al pasar de los nodos C2 de un actor a las estaciones de trabajo del operador. Creemos que los endpoints y el malware de los estados-nación y los ciberdelincuentes son especialmente vulnerables a la explotación, ya que no pueden utilizar pilas de seguridad modernas para supervisar el acceso y protegerse contra la explotación."

Está señalando que cuando los actores de amenazas han instalado los protocolos de seguridad, sus exploits y herramientas han quedado expuestos. Actualmente se cree que hackers como la APT están borrando activamente los datos de registro en un intento de agravar la exposición. 

Servidores Storm-0156 y tácticas secretas de ataque de Blizzard 

En cuanto a los detalles de los ataques, se cree que las APT rusa manipuló su confianza con Storm-0156. Dicha iniciativa les permitió introducirse en las estaciones de trabajo de los operadores de redes informáticas paquistaníes, donde pudieron hurtar datos de esos nodos. Además, esta táctica también se utilizó para incluir a Waiscot y CrimsonRAT.

El sitio APT rusa utilizó posteriormente este malware para interactuar con redes basadas en la India. Cabe destacar que este actor de amenazas. Cabe señalar que este actor de amenazas utiliza una amplia gama de herramientas de código abierto, como AllaKore y troyanos de acceso remoto personalizados. troyano de acceso remoto. En cuanto a Storm-0156, los actores de la amenaza han adaptado sus herramientas a diversos sistemas operativos.

Sin embargo, no se ha observado ningún cambio en las tácticas, técnicas y procedimientos (TTP). Merece la pena mencionar aquí que Storm-0156 se dedica principalmente a atacar organizaciones gubernamentales regionales y se centra sobre todo en la India y Afganistán. Algunas de las entidades clave contra las que se ha dirigido el grupo proceden de diversos sectores, entre ellos:

  • Gobierno. 
  • Tecnología. 
  • Sistemas de control industrial. 
  • Generación y distribución de energía. 

Información sobre la APT rusa que accedió a los servidores C2 de la Storm-0156 paquistaní, los expertos han afirmado lo siguiente:

"Mientras monitoreábamos las campañas Storm-0156, descubrimos 11 nodos C2 que estuvieron activos desde diciembre de 2022 hasta mediados de 2023. Black Lotus Labs observó muestras de malware o informes públicos correspondientes a 8 de los 11 nodos. Un análisis más detallado reveló que todos estos 11 se comunicaban con tres direcciones IP VPS recientemente identificadas." 

Uno de los aspectos más llamativos de los VPS fue el hecho de que habían sido enviados por láser a través de un proveedor que no se había visto anteriormente en campañas Storm-0156. El MSTIC también confirmó que los tres nodos estaban, de hecho, asociados a la APT ruso ruso Secret Blizzard. Desde diciembre de 2022 hasta agosto de 2023, la APT rusa utilizó las siguientes direcciones IP:

  • 146.70.158[.]90
  • 162.213.195[.]129
  • 146.70.81[.]81

En relación con la APT ruso el uso de estos tres nodos por parte del grupo ruso APT:

"Aunque no podemos estar seguros de cómo Secret Blizzard identificó los tres nodos restantes que no correspondían a muestras o informes públicos de malware, sospechamos que podrían haber utilizado un método de pivoteo del Protocolo de Escritorio Remoto (RDP) esbozado aquí por Team Cymru."

A continuación se muestra una lista de direcciones IP pertenecientes a Strom-0156 y su tiempo de interacción con la APT rusa:

Fechas  Dirección IP
11 dic 2022 - 7 oct 2024 154.53.42[.]194
12 de diciembre de 2022 - 9 de julio de 2023 66.219.22[.]252
27 dic 2022 - 9 ago 2023 66.219.22[.]102
28 dic 2022 - 2 mar 2023 144.126.152[.]205
31 de enero - 14 de marzo de 2023 185.229.119[.]60
22 febrero - 21 agosto 2023 164.68.108[.]153
27 febrero - 22 marzo 2023 209.126.6[.]227
30 de abril - 4 de julio de 2023 209.126.81[.]42
5 de mayo - 22 de agosto de 2023 209.126.7[.]8
12 de abril - 23 de agosto de 2023 154.38.160[.]218
23 de junio - 21 de agosto de 2023 144.126.154[.]84

 

Herramientas maliciosas desplegadas en redes gubernamentales afganas

Aparte de las direcciones IP, los expertos han mencionado que al supervisar la interacción entre las APT ruso ruso y los nodos Storm-0156, también se identificó actividad desde redes gubernamentales afganas. Dada la prevalencia de la actividad, los expertos han señalado que la APT rusa ruso probablemente utilizó el acceso a los servidores C2 para el despliegue del malware Two-Dash.

La comunicación relativa a la secuencia del ataque se observó desde varias direcciones IP con sede en Afganistán. Basándose en la duración y el volumen de datos transferidos, se puede concluir que las direcciones IP afganas mostraron actividad de balizamiento sólo durante una semana. Esto implica que el actor de la amenaza opta deliberadamente por no mantener un acceso a largo plazo. Sin embargo, las tres direcciones que parecían revestir mayor interés eran:  

  • 146.70.158[.]90 - se observó que interactuaba con seis direcciones IP y estuvo activo desde el 23 de enero de 2023 hasta el 4 de septiembre de 2023.
  • 162.213.195[.]129 - utilizado para comunicarse con cinco direcciones IP y estuvo activo desde el 29 de diciembre de 2022 hasta el 4 de septiembre de 2023.
  • 167.88.183[.]238 - utilizado principalmente para la transmisión a una sola dirección IP que tuvo lugar el 17 de abril de 2023.

Además, también se identificó que de mayo a octubre de 2024, las conexiones persistentes desde redes gubernamentales afganas seguían siendo las mismas. Sin embargo, una diferencia notable era que el C2 había pasado de alinearse con infecciones Storm-0156 a 143.198.73[.]108.

Cabe destacar que la actividad más significativa que se identificó fue el uso del malware Two-Dash. Esto se puso de manifiesto no sólo en los nodos C2 Storm-0156 ubicados en Afganistán, sino también en una dirección IP dinámica procedente de Pakistán. Los expertos han aportado información sobre el uso del panel C2: 

"Sospechamos que aprovecharon el acceso al panel C2 de Storm-0156 y luego abusaron de una relación de confianza para moverse lateralmente a la estación de trabajo del operador de Storm-0156. Este logro podría haberles permitido acceder a redes adicionales previamente comprometidas por Storm-0156, que incluye otras entidades gubernamentales de Oriente Medio."

Por ahora, sigue sin estar claro si se trata de un movimiento iniciado para comprometer a las víctimas objetivo o del uso de agentes existentes establecidos por Storm-0156. 

Conclusión

La campaña de ataque de la APT rusa ruso Secret Blizzard pone de manifiesto la sofisticación de las tácticas modernas de ciberespionaje. Al explotar la confianza y aprovechar el acceso a los servidores C2 de Storm-0156, el grupo demostró un enfoque estratégico para infiltrarse en redes sensibles. Con herramientas como el malware Two-Dash y movimientos laterales selectivos, sus operaciones subrayan la necesidad de medidas de ciberseguridad reforzadas para protegerse de las amenazas respaldadas por el Estado-nación y de las vulnerabilidades que plantea la explotación de la confianza entre grupos.

Las fuentes de este artículo incluyen artículos en The Hacker News y Lumen.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Índice

Obtenga las respuestas de seguridad de código abierto que necesita

Haznos una pregunta

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.