Un actor de amenaza conocido como APT28 se ha vinculado a múltiples campañas de phishing. Utiliza documentos señuelo que imitan a organizaciones gubernamentales y no gubernamentales en varias partes del mundo. IBM X-Force está rastreando la actividad bajo el nombre ITG05 y ha descubierto que los señuelos incluyen una mezcla de documentos internos y públicamente disponibles, así como posibles documentos generados por el actor asociados con diversos sectores.
Las últimas campañas observadas por IBM X-Force aprovechan el controlador URI «search-ms:» en Microsoft Windows para engañar a las víctimas y descargar malware. Algunos servidores alojando el malware pueden estar comprometidos debido a vulnerabilidades de seguridad en Microsoft Outlook.
Los ataques de phishing suplantan entidades de diversos países como Argentina, Ucrania, Georgia, Bielorrusia, Kazajstán, Polonia, Armenia, Azerbaiyán y EE. UU. ITG05 utiliza el proveedor de alojamiento gratuito, firstcloudit[.]com, para preparar cargas útiles y permitir operaciones continuas. El clímax del plan es la ejecución de MASEPIE, OCEANMAP y STEELHOOK para exfiltrar archivos y robar datos.
APT28 evoluciona constantemente sus capacidades de malware y sigue siendo adaptable a los cambios en las oportunidades mediante la utilización de nuevas metodologías de infección y aprovechando la infraestructura comercialmente disponible.
Vía The Hacker News
