Los investigadores de seguridad cibernética desenmascararon el viernes una nueva infraestructura de comando y control (C2) perteneciente al actor de amenazas ruso rastreado como APT29, también conocido como Cozy Bear, que ha sido detectado sirviendo activamente el malware WellMess como parte de una campaña de ataque en curso.
Se han descubierto más de 30 servidores C2 operados por la inteligencia extranjera rusa, dijo la subsidiaria de ciberseguridad de Microsoft, RiskIQ, en un informe compartido con The Hacker News.
Se cree que APT29, el apodo asignado a los agentes gubernamentales que trabajan para el Servicio de Inteligencia Exterior (SVR) de Rusia, fue el autor intelectual del ataque masivo a la cadena de suministro de SolarWinds que salió a la luz a fines del año pasado, y los gobiernos del Reino Unido y EE. UU. identificaron formalmente las intrusiones. sobre Rusia a principios de abril.
La comunidad de seguridad cibernética está rastreando la actividad bajo varios nombres en clave, incluidos UNC2452 (FireEye), Nobelium (Microsoft), SolarStorm (Unidad 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) y Iron Ritual (Secureworks), citando diferencias en las tácticas, técnicas y procedimientos (TTPs) empleados por el adversario con la de perfiles de atacante conocidos, contando APT29.
Identificado por primera vez por JPCERT/CC de Japón en 2018, WellMess (también conocido como WellMail) se ha implementado previamente en campañas de espionaje realizadas por el actor de amenazas para saquear la propiedad intelectual de múltiples organizaciones involucradas en la investigación y el desarrollo de vacunas COVID-19 en el Reino Unido, EE. UU. y Canadá.
«El grupo utiliza una variedad de herramientas y técnicas para apuntar predominantemente a objetivos gubernamentales, diplomáticos, de grupos de expertos, de atención médica y de energía para obtener inteligencia», señaló el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido en un aviso publicado en julio de 2020.
RiskIQ dijo que comenzó su investigación sobre la infraestructura de ataque de APT29 luego de una revelación pública sobre un nuevo servidor WellMess C2 el 11 de junio, lo que llevó al descubrimiento de un grupo de no menos de 30 servidores C2 activos. Se cree que uno de los servidores estuvo activo el 9 de octubre de 2020, aunque no está claro cómo se utilizan estos servidores o quiénes son los objetivos.
Esta no es la primera vez que RiskIQ identifica la huella de comando y control asociada con los piratas informáticos de SolarWinds. En abril, descubrió un conjunto adicional de 18 servidores con alta confianza que probablemente se comunicaron con las cargas útiles secundarias de Cobalt Strike entregadas a través del malware TEARDROP y RAINDROP implementado en los ataques.
«El Team Atlas de RiskIQ evalúa con gran confianza que estas direcciones IP y certificados están en uso activo por parte de APT29», dijo Kevin Livelli, director de inteligencia de amenazas de RiskIQ. «No pudimos localizar ningún malware que se comunicara con esta infraestructura, pero sospechamos que probablemente sea similar a las muestras previamente identificadas».
