Campaña de malware a gran escala de APT28 respaldada por el Kremlin apunta a instituciones polacas

Instituciones del gobierno polaco han sido blanco de una extensa campaña de malware ejecutada por un actor estatal ruso conocido como APT28.

Según CERT Polska, la campaña involucra el envío de correos electrónicos con contenido diseñado para captar la atención del destinatario y persuadirlo a hacer clic en un enlace. Al hacerlo, la víctima es redirigida al dominio run.mocky[.]io, utilizado para redireccionar al sitio legítimo webhook[.]site, que a su vez promueve la evasión de la detección.

Como parte de esta estrategia, se descarga un archivo ZIP de webhook[.]site que finge ser una imagen JPG («IMG-238279780.jpg.exe»), un archivo de script por lotes oculto y un archivo DLL malicioso («WindowsCodecs.dll»).

El siguiente paso implica la ejecución del archivo DLL para abrir el archivo de script por lotes y, simultáneamente, mostrar imágenes en un navegador web para mantener la artimaña.

El script por lotes descarga otra imagen JPG («IMG-238279780.jpg») de webhook[.]site que se renombra y se ejecuta como un script CMD, lo que desencadena la recopilación de información y su envío a los atacantes.

Según CERT Polska, este modus operandi es similar a una campaña previa que promovía un backdoor personalizado denominado HeadLace. Además, el empleo de servicios legítimos como Mocky y webhook[.]site es una táctica común de APT28 para eludir la detección de seguridad.

La OTAN recientemente acusó al grupo respaldado por el Kremlin de llevar a cabo una campaña de ciberespionaje a largo plazo contra entidades políticas, instituciones estatales e infraestructuras críticas en países miembros.

Estas actividades maliciosas también incluyen ataques a dispositivos iOS con el spyware XAgent, detallado por Trend Micro en relación con una campaña llamada Operación Pawn Storm en febrero de 2015.

Symantec señaló que XAgent posee capacidades de control remoto y exfiltración de datos, lo que lo hace peligroso para la recopilación de información y la realización de campañas de ingeniería social o spear-phishing.

Además, se ha observado un aumento en los ataques con motivación financiera por parte de grupos de delincuencia electrónica rusos como UAC-0006 y el actor estatal Midge, dirigidos a Ucrania, Rusia y Bielorrusia en la segunda mitad de 2023.

Vía The Hacker News