ClickCease Campañas de Spear-Phishing dirigidas a grupos rusos y bielorrusos - TuxCare

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Campañas de spear phishing dirigidas a grupos rusos y bielorrusos

Wajahat Raja

26 de agosto de 2024 - Equipo de expertos TuxCare

Según informes recientes, varias organizaciones rusas y bielorrusas han sido objeto de campañas de spear-phishing. Estas organizaciones pertenecen a sectores sin ánimo de lucro, medios de comunicación y gobiernos internacionales. Los actores de la amenaza que orquestaron estas campañas de spear-phishing parecen tener intereses afines al gobierno ruso. En este artículo, nos sumergiremos en estos ciberataques rusos y desvelaremos los detalles. Comencemos.

Campañas de Spear-Phishing: Actores y objetivos de las amenazas

Según la información disponible, una de las dos campañas ha sido atribuida a COLDRIVER. El actor de la amenaza COLDRIVER es un adversario en línea conocido por sus vínculos con el Servicio Federal de Seguridad de Rusia (FBS). Se supone que el grupo de amenazas COLDWASTREL es responsable de la segunda serie de ataques.

Aparte de la organización mencionada, otros objetivos de las campañas de spear-phishing incluyen figuras en el exilio que se oponen a Rusia, grupos de reflexión y funcionarios del espacio político de Estados Unidos (EE.UU.) y el ex embajador de EE.UU. en Ucrania. Access Now, una organización de derechos civiles digitales sin ánimo de lucro, ha declarado lo siguiente al dar detalles sobre los ataques y los objetivos:

"Ambos tipos de ataques estaban muy adaptados para engañar mejor a los miembros de las organizaciones objetivo. El patrón de ataque más común que observamos fue un correo electrónico enviado desde una cuenta comprometida o desde una cuenta que parecía similar a la cuenta real de alguien que la víctima podría haber conocido."

Ciberataques rusos: Herramientas y técnicas

En cuanto a las tácticas de ataque, estas campañas de spear-phishing se basan en el uso de métodos de ingeniería social. Para atacar a las víctimas, se incrusta un archivo PDF con un enlace malicioso. Los archivos PDF se distribuyen mediante correos electrónicos enviados desde cuentas de Proton Mail que se hacen pasar por organizaciones o personas con las que la víctima está familiarizada.

Cuando una víctima hace clic en el enlace, es redirigida a una página de recogida de credenciales. The Citizen Lab ha proporcionado detalles sobre estas campañas de spear-phishing:

"A menudo observamos que el atacante omitía adjuntar un archivo PDF al mensaje inicial que solicitaba una revisión del archivo 'adjunto'. Creemos que esto era intencionado y pretendía aumentar la credibilidad de la comunicación, reducir el riesgo de detección y seleccionar solo a los objetivos que respondían al planteamiento inicial (por ejemplo, señalando la falta de un archivo adjunto)."

Proton Mail y Proton Drive han sido utilizados previamente para ciberataques por estos dos actores de amenazas, y tales tácticas se registraron por primera vez en marzo de 2023. A pesar de las similitudes entre los dos actores de amenazas, COLDWASTREL se desvía de COLDRIVER cuando se trata de dominios similares utilizados con fines maliciosos.

Cabe mencionar aquí que las campañas de spear-phishing son una técnica eficaz para los actores de amenazas, ya que les permiten mantener amenazas globales mientras mantienen tácticas de ataque más sofisticadas protegidas de ser descubiertas. Los expertos en ciberseguridad deben comprender estas tácticas para desarrollar una estrategia de protección eficaz.

Conclusión

Estas campañas de spear-phishing, atribuidas a COLDRIVER y COLDWASTREL, demuestran la evolución de las tácticas de los actores de ciberamenazas alineados con los intereses rusos. Al explotar la ingeniería social y la recolección de credenciales, representan una amenaza significativa para las organizaciones y los individuos que se oponen a las políticas rusas. A la luz de estos ataques, es esencial garantizar el uso de protocolos de seguridad proactivos, ya que pueden ayudar a reducir el riesgo de exposición.

Las fuentes de esta pieza incluyen artículos en The Hacker News y Forbes.

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín