Investigadores de ciberseguridad desenmascararon el viernes una nueva infraestructura de comando y control (C2) perteneciente al actor de amenazas ruso rastreado como APT29, también conocido como Cozy Bear, que ha sido detectado sirviendo activamente el malware WellMess como parte de una campaña de ataque en curso.
Se han descubierto más de 30 servidores C2 operados por la inteligencia extranjera rusa, dijo la filial de seguridad cibernética de Microsoft, RiskIQ , en un informe compartido con The Hacker News.
Se cree que APT29, el apodo asignado a los agentes gubernamentales que trabajan para el Servicio de Inteligencia Exterior de Rusia (SVR), fue el cerebro detrás del ataque masivo de la cadena de suministro SolarWinds que salió a la luz a fines del año pasado, con los gobiernos de Reino Unido y EE. UU. sobre Rusia a principios de abril.
La comunidad de ciberseguridad está rastreando la actividad bajo varios nombres en clave, incluidos UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unidad 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) y Iron Ritual (Secureworks), citando diferencias. en las tácticas, técnicas y procedimientos (TTP) empleados por el adversario con el de perfiles de atacante conocidos, contando APT29.
Identificado por primera vez por JPCERT / CC de Japón en 2018, WellMess (también conocido como WellMail) se ha desplegado previamente en campañas de espionaje emprendidas por el actor de amenazas para saquear la propiedad intelectual de múltiples organizaciones involucradas en la investigación y el desarrollo de vacunas COVID-19 en el Reino Unido, EE. UU. Y Canadá.
«El grupo utiliza una variedad de herramientas y técnicas para apuntar predominantemente a objetivos gubernamentales, diplomáticos, de grupos de expertos, de atención médica y de energía para obtener inteligencia», señaló el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido en un aviso publicado en julio de 2020.
RiskIQ dijo que comenzó su investigación sobre la infraestructura de ataque de APT29 luego de una divulgación pública sobre un nuevo servidor WellMess C2 el 11 de junio, lo que llevó al descubrimiento de un clúster de no menos de 30 servidores C2 activos. Se cree que uno de los servidores estuvo activo el 9 de octubre de 2020, aunque no está claro cómo se utilizan estos servidores o quiénes son los objetivos.
Esta no es la primera vez que RiskIQ identifica la huella de comando y control asociada con los piratas informáticos de SolarWinds. En abril, descubrió un conjunto adicional de 18 servidores con alta confianza que probablemente se comunicaron con las cargas útiles secundarias de Cobalt Strike entregadas a través del malware TEARDROP y RAINDROP implementado en los ataques.
«El equipo Atlas de RiskIQ evalúa con gran confianza que estas direcciones IP y certificados están en uso activo por APT29», dijo Kevin Livelli, director de inteligencia de amenazas de RiskIQ. «No pudimos localizar ningún malware que se comunicara con esta infraestructura, pero sospechamos que probablemente sea similar a las muestras identificadas anteriormente».