- Microsoft advierte que un actor de amenazas patrocinado por el estado ruso está pirateando tecnología militar ucraniana
- El malware bot Anadey se coloca en dispositivos para recopilar información
- Secret Blizzard puede utilizar dispositivos comprometidos para llevar el acuerdo al nivel del Ministerio
microsoft La Dirección de Inteligencia contra Amenazas ha descubierto el secreto del notorio actor de amenazas ruso. ventisca Trabaja con otros ciberdelincuentes para llevar a cabo operaciones de espionaje en organizaciones de interés específicas en el sur de Asia, así como para instalar múltiples puertas traseras en dispositivos en Ucrania.
El equipo destacó el uso de ciberataques por parte de Secret Blizzard por parte de actores de amenazas rusos como medio de entrada para instalar el bot Amadey. malware Y puertas traseras en dispositivos ucranianos con fines de espionaje.
Se evaluó que Secret Blizzard compraría o robaría puntos de entrada a dispositivos ucranianos de otros actores patrocinados por el estado aliados con Rusia para diversificar su capacidad de monitorear dispositivos y llevar a cabo ataques.
Espionaje y vigilancia
El punto de acceso inicial de Secret Blizzard generalmente se crea mediante ataques de phishing antes de moverse horizontalmente a través de redes de interés a través del compromiso del lado del servidor y del terminal.
Se accedió a un dispositivo y se observó a Secret Blizzard implementando un cuentagotas Powershell a través del malware como servicio (MaaS) Amadey, que permite a Secret Blizzard ver configuraciones de dispositivos y recopilar información a través de un servidor de comando y control (C2).
Amadey luego recopila y transmite información sobre el tipo software antivirus Instalado en el dispositivo, antes de instalar dos complementos en el dispositivo de destino que utilizan Microsoft Threat Intelligence para recopilar datos del portapapeles y credenciales del navegador.
Secret Blizzard también buscará y apuntará a dispositivos que utilicen una dirección IP de Starlink como objetivo preferido, antes de implementar un algoritmo personalizado que permita al actor de amenazas robar datos del dispositivo objetivo, incluido el árbol de directorios, la información del sistema, las sesiones activas y la ruta IPv4. Programación, recursos compartidos SMB, grupos de seguridad habilitados y configuración de hora.
Microsoft Threat Intelligence también observó que el indicador cmd se utilizaba para recopilar información de Windows Defender sobre si se observaron versiones anteriores del malware Amadey en el sistema para evaluar si el dispositivo objetivo era de interés.
Secret Blizzard está adaptando sus técnicas de ataque para atacar específicamente el hardware militar ucraniano, y Microsoft evalúa que el punto de apoyo podría potencialmente explotarse “para escalar hacia un acceso estratégico a nivel ministerial”.
Microsoft recomienda que quienes busquen mitigar este vector de ataque introduzcan reglas de mitigación de vectores de ataque en Microsoft Defender. Puede encontrar una lista completa de estrategias de mitigación en el blog de Microsoft Threat Intelligence.