Microsoft reveló el jueves que obtuvo una orden judicial para tomar el control de siete dominios utilizados por APT28, un grupo patrocinado por el estado operado por el servicio de inteligencia militar de Rusia, con el objetivo de neutralizar sus ataques contra Ucrania.
«Desde entonces, hemos redirigido estos dominios a un sumidero controlado por Microsoft, lo que nos permite mitigar el uso actual de Strontium de estos dominios y habilitar las notificaciones a las víctimas», dijo Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft .
APT28, también conocido por los nombres Sofacy, Sednit, Pawn Storm, Fancy Bear, Iron Twilight y Strontium, es un grupo de espionaje cibernético y una amenaza persistente avanzada que se sabe que está activa desde 2009, atacando a los medios, gobiernos, militares e internacionales. organizaciones no gubernamentales (ONG) que a menudo tienen un enfoque de seguridad.
El gigante tecnológico señaló que el actor de amenazas utilizó la infraestructura del sumidero para atacar a las instituciones ucranianas, así como a los gobiernos y grupos de expertos en los EE. UU. y la Unión Europea para mantener el acceso persistente a largo plazo y filtrar información confidencial.
Meta toma medidas contra Ghostwriter y Phosphorus
La divulgación de Microsoft se produce cuando Meta, la compañía anteriormente conocida como Facebook, reveló que tomó medidas contra las redes antagónicas encubiertas que se originaron en Azerbaiyán e Irán en su plataforma, eliminando las cuentas y bloqueando el uso compartido de sus dominios.
Se cree que la operación de Azerbaiyán identificó a activistas por la democracia, grupos de oposición y periodistas del país y críticos del gobierno en el extranjero por llevar a cabo actividades de espionaje y phishing de credenciales.
Otro involucró a UNC788 (también conocido como Charming Kitten, TA453 o Phosphorus), un equipo de piratería vinculado al gobierno que tiene un historial de realizar operaciones de vigilancia en apoyo de las prioridades estratégicas iraníes.
«Este grupo usó una combinación de cuentas falsas de baja sofisticación y personas ficticias más elaboradas, que probablemente usaron para generar confianza con los objetivos potenciales y engañarlos para que hicieran clic en enlaces de phishing o descargaran aplicaciones maliciosas», describió Meta en su primer informe trimestral Adversarial Threat. Informe _
Las aplicaciones maliciosas de Android, denominadas HilalRAT, se hicieron pasar por aplicaciones del Corán aparentemente inofensivas para extraer información confidencial, como la lista de contactos, mensajes de texto, archivos, información de ubicación, así como para activar la cámara y el micrófono.
Meta también dijo que bloqueó las actividades maliciosas asociadas con un grupo de piratería iraní no informado que aprovechó tácticas similares a las de Tortoiseshell para atacar o falsificar empresas en las industrias de energía, TI, logística marítima, semiconductores y telecomunicaciones.
Esta campaña presentó un conjunto elaborado de perfiles falsos en Instagram, LinkedIn, Facebook y Twitter, con los actores haciéndose pasar por reclutadores de empresas reales y de fachada para engañar a los usuarios para que hicieran clic en enlaces de phishing para entregar información robando malware disfrazado de VPN, calculadora , audiolibros y aplicaciones de mensajería.
«Desarrollaron malware en la plataforma de virtualización VMWare ThinApp, lo que les permitió ejecutarlo en muchos sistemas diferentes y retener la carga maliciosa hasta el último minuto, lo que hace que la detección de malware sea más desafiante», explicó Meta.
Por último, Meta también interrumpió los intentos de adquisición realizados por el grupo Ghostwriter alineado con Bielorrusia para ingresar a las cuentas de Facebook de docenas de militares ucranianos.
Los ataques, que tuvieron éxito en «un puñado de casos», abusaron del acceso a las cuentas de las redes sociales de las víctimas y publicaron información falsa «pidiendo al Ejército que se rindiera como si estas publicaciones provinieran de los propietarios legítimos de las cuentas».
