Proofpoint identificó ataques de phishing que creen que están patrocinados por el Estado-nación a través de la cuenta de correo electrónico de un soldado ucraniano comprometido. Se utilizó un archivo adjunto de macro para descargar el malware SunSeed. Ben Koehl, analista principal de amenazas del Centro de Inteligencia de Amenazas (MSTIC) de Microsoft, tuiteó varias direcciones IP relacionadas con esta actividad en respuesta al artículo de ProofPoint.
Análisis del Caso
El 24 de febrero de 2022, Proofpoint detectó un correo electrónico procedente de una dirección de correo electrónico ukr[.]net que se envió a una entidad gubernamental europea. El correo electrónico utilizaba el asunto "DE ACUERDO CON LA DECISIÓN DE LA REUNIÓN DE EMERGENCIA DEL CONSEJO DE SEGURIDAD DE UCRANIA DE FECHA 24.02.2022" e incluía un archivo XLS habilitado para macros titulado "list of persons.xlsx", que más tarde se determinó para entregar malware SunSeed. El señuelo de ingeniería social utilizado en esta campaña de phishing fue muy oportuno, después de una reunión del Consejo de Seguridad de la OTAN el 23 de febrero de 2022 y una noticia sobre una "lista de asesinatos" del gobierno ruso dirigida a los ucranianos que comenzó a circular en los medios de comunicación occidentales el 21 de febrero de 2022. El formato del tema incluía la fecha "24.02.2022" al final de la línea de asunto y era superficialmente similar a los correos electrónicos notificados por el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) el 25 de febrero de 2022. Esta alerta indicaba que las campañas masivas de phishing estaban dirigidas a las "direcciones de correo electrónico de los ciudadanos" en Ucrania. El momento de la campaña observada en Proofpoint es notable, ya que se produjo muy cerca de las campañas reportadas por las agencias estatales ucranianas.
Conclusiones
Proofpoint ha identificado una probable campaña de phishing patrocinada por el Estado nacional utilizando la cuenta de correo electrónico de un miembro del servicio armado ucraniano posiblemente comprometido para dirigirse al personal del gobierno europeo involucrado en la gestión de la logística de los refugiados que huyen de Ucrania.
El correo electrónico incluía un archivo adjunto de macro malicioso que intentaba descargar un malware basado en Lua denominado SunSeed.
La cadena de infección utilizada en esta campaña tiene similitudes significativas con una campaña histórica Proofpoint observada en julio de 2021, por lo que es probable que el mismo actor de la amenaza esté detrás de ambos grupos de actividad.
Proofpoint está publicando este informe en un esfuerzo por equilibrar la precisión con la responsabilidad de revelar inteligencia procesable durante un tiempo de conflicto a alto ritmo.
⚠️ Continúa leyendo, el informe completo en este link:
Human Firewall, el siguiente nivel de la Ciberseguridad
✅ Conoce nuestra estrategia de Cyber Security en 4 ejes: Ethical Hackers, Compliance, Security Awareness, Security & Solutions en www.Inntesec.com/vision
✅ Conoce nuestro programa y estrategia de Human Firewall con KnowBe4 en www.Inntesec.com/awareness
✅ Aprovecha los beneficios SENCE a través de nuestra OTEC www.Inntesec.Academy
📲 Contáctanos vía WhatsApp: wa.me/56989217125
⚠️ Contáctanos si quieres conocer sobre nuestros servicios: https://www.Inntesec.com/contacto
Fuente: Proofpoint
Comments