La compañía de seguridad empresarial Proofpoint, que detectó correos electrónicos maliciosos por primera vez el 24 de febrero de 2022, denominando luego los ataques de ingeniería social como “Asylum Ambuscade”.
“El correo electrónico incluía un macro adjunto malicioso que utilizaba temas de ingeniería social relacionados con la Reunión de Emergencia del Consejo de Seguridad de la OTAN celebrada el 23 de febrero de 2022”, dijeron los investigadores Michael Raggi y Zydeca Cass en un informe publicado la víspera.
“El correo electrónico también contenía un archivo adjunto malicioso que intentaba descargar un malware Lua malicioso llamado SunSeed y dirigido al personal del gobierno europeo encargado de gestionar el transporte y el movimiento de la población en Europa.”
Los hallazgos se basan en un aviso emitido por el Servicio Estatal de Comunicación Especial y Protección de la Información de Ucrania (DSSZZI), que advirtió la semana pasada de mensajes de phishing dirigidos a su personal militar con archivos adjuntos ZIP con el objetivo de robar información personal sensible.
Proofpoint declinó atribuir la nueva campaña observada a un actor de amenaza específico, pero señaló que las coincidencias en la línea de tiempo de los dos conjuntos de ataques, los señuelos de phishing utilizados y los patrones de victimología se alinean con los de un grupo de estado-nación bielorruso llamado UNC1151 (alias TA445 o Ghostwriter).
Uno de los aspectos notables de Asylum Ambuscade es el probable uso de la cuenta de correo electrónico de un miembro de las fuerzas armadas ucranianas comprometido para difundir e-mail cargado de malware que contiene un archivo XLS habilitado para macros que entrega SunSeed en los hosts infectados, lo que implica que la última campaña puede ser una continuación de estos ataques.
SunSeed funciona como un descargador que establece comunicaciones con un servidor controlado por terceros para recuperar las cargas útiles de la siguiente etapa para su ejecución.
Proofpoint señaló que los ataques apuntaban específicamente a personas con responsabilidades relacionadas con el transporte, la asignación financiera y presupuestaria, la administración y el movimiento de la población dentro de Europa.
En una actualización separada publicada hoy, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) describió los acontecimientos en curso como una “guerra de información y psicológica”, e instó a los habitantes del país a supervisar cuidadosamente sus cuentas en busca de dispositivos no reconocidos, a activar la autenticación de dos factores y a utilizar aplicaciones de mensajería cifradas de extremo a extremo.
Además, la empresa de seguridad del correo electrónico Avanan dijo que a partir del 27 de febrero se multiplicó por ocho el número de ataques por correo electrónico procedentes de Rusia, al menos algunos de ellos dirigidos a empresas manufactureras, de transporte internacional y de transporte situadas en Estados Unidos y Europa.
“A la luz de la actual guerra entre Rusia y Ucrania, las acciones de los actores proxy como TA445 continuarán apuntando a los gobiernos europeos para reunir información de inteligencia en torno al movimiento de los refugiados de Ucrania y sobre temas de importancia para el gobierno ruso”, dijeron los investigadores.
