• Team Inntesec

馃啒 Nueva Campa帽a de Phishing descarga el Malware SunSeed, Email de la Milicia Ucraniana Comprometido

Proofpoint identific贸 ataques de phishing que creen que est谩n patrocinados por el Estado-naci贸n a trav茅s de la cuenta de correo electr贸nico de un soldado ucraniano comprometido. Se utiliz贸 un archivo adjunto de macro para descargar el malware SunSeed. Ben Koehl, analista principal de amenazas del Centro de Inteligencia de Amenazas (MSTIC) de Microsoft, tuite贸 varias direcciones IP relacionadas con esta actividad en respuesta al art铆culo de ProofPoint.


An谩lisis del Caso

El 24 de febrero de 2022, Proofpoint detect贸 un correo electr贸nico procedente de una direcci贸n de correo electr贸nico ukr[.]net que se envi贸 a una entidad gubernamental europea. El correo electr贸nico utilizaba el asunto "DE ACUERDO CON LA DECISI脫N DE LA REUNI脫N DE EMERGENCIA DEL CONSEJO DE SEGURIDAD DE UCRANIA DE FECHA 24.02.2022" e inclu铆a un archivo XLS habilitado para macros titulado "list of persons.xlsx", que m谩s tarde se determin贸 para entregar malware SunSeed. El se帽uelo de ingenier铆a social utilizado en esta campa帽a de phishing fue muy oportuno, despu茅s de una reuni贸n del Consejo de Seguridad de la OTAN el 23 de febrero de 2022 y una noticia sobre una "lista de asesinatos" del gobierno ruso dirigida a los ucranianos que comenz贸 a circular en los medios de comunicaci贸n occidentales el 21 de febrero de 2022. El formato del tema inclu铆a la fecha "24.02.2022" al final de la l铆nea de asunto y era superficialmente similar a los correos electr贸nicos notificados por el Servicio Estatal de Comunicaciones Especiales y Protecci贸n de la Informaci贸n de Ucrania (SSSCIP) el 25 de febrero de 2022. Esta alerta indicaba que las campa帽as masivas de phishing estaban dirigidas a las "direcciones de correo electr贸nico de los ciudadanos" en Ucrania. El momento de la campa帽a observada en Proofpoint es notable, ya que se produjo muy cerca de las campa帽as reportadas por las agencias estatales ucranianas.


Conclusiones

  • Proofpoint ha identificado una probable campa帽a de phishing patrocinada por el Estado nacional utilizando la cuenta de correo electr贸nico de un miembro del servicio armado ucraniano posiblemente comprometido para dirigirse al personal del gobierno europeo involucrado en la gesti贸n de la log铆stica de los refugiados que huyen de Ucrania.

  • El correo electr贸nico inclu铆a un archivo adjunto de macro malicioso que intentaba descargar un malware basado en Lua denominado SunSeed.

  • La cadena de infecci贸n utilizada en esta campa帽a tiene similitudes significativas con una campa帽a hist贸rica Proofpoint observada en julio de 2021, por lo que es probable que el mismo actor de la amenaza est茅 detr谩s de ambos grupos de actividad.

  • Proofpoint est谩 publicando este informe en un esfuerzo por equilibrar la precisi贸n con la responsabilidad de revelar inteligencia procesable durante un tiempo de conflicto a alto ritmo.


鈿狅笍 Contin煤a leyendo, el informe completo en este link:

https://www.proofpoint.com/us/blog/threat-insight/asylum-ambuscade-state-actor-uses-compromised-private-ukrainian-military-emails



Human Firewall, el siguiente nivel de la Ciberseguridad


鉁 Conoce nuestra estrategia de Cyber Security en 4 ejes: Ethical Hackers, Compliance, Security Awareness, Security & Solutions en www.Inntesec.com/vision


鉁 Conoce nuestro programa y estrategia de Human Firewall con KnowBe4 en www.Inntesec.com/awareness


鉁 Aprovecha los beneficios SENCE a trav茅s de nuestra OTEC www.Inntesec.Academy


馃摬 Cont谩ctanos v铆a WhatsApp: wa.me/56989217125


鈿狅笍 Cont谩ctanos si quieres conocer sobre nuestros servicios: https://www.Inntesec.com/contacto



Fuente: Proofpoint

2 visualizaciones0 comentarios