Descripción general CERT-UA, el equipo de respuesta a emergencias cibernéticas de Ucrania, descubrió una campaña de phishing orquestada por el actor de amenazas UAC-0215. Esta campaña se dirigió específicamente a instituciones públicas, industrias importantes y unidades militares en toda Ucrania. Los correos electrónicos de phishing se disfrazaron inteligentemente para promover la integración con plataformas populares como Amazon y Microsoft, además de abogar por Zero Trust Architecture (ZTA). Sin embargo, los correos electrónicos contenían archivos de configuración .rdp maliciosos que, al abrirse, establecían una conexión con un servidor controlado por el atacante. Esta conexión proporcionó acceso no autorizado a una variedad de recursos locales, incluidas unidades de disco, activos de red, impresoras, dispositivos de audio e incluso el portapapeles. La sofisticación de esta campaña plantea preocupaciones de seguridad para la infraestructura crítica en Ucrania. Descripción general de la campaña La campaña se detectó por primera vez el 22 de octubre de 2024, y la inteligencia sugiere que el trabajo preparatorio se sentó ya en agosto de 2024. El amplio alcance de la operación de phishing destaca no solo una amenaza localizada sino también una preocupación internacional más amplia, ya que múltiples organizaciones de ciberseguridad en todo el mundo lo han corroborado. Las implicaciones de este ataque se extienden más allá de las organizaciones individuales y amenazan la seguridad nacional. Los objetivos principales de la campaña de phishing incluyen autoridades públicas, industrias importantes y organizaciones militares dentro de Ucrania. Se considera que esta operación tiene una puntuación de alto riesgo, lo que indica una amenaza para estos sectores. La campaña se atribuye al grupo de amenazas persistentes avanzadas (APT) conocido como UAC-0215, que utiliza técnicas fraudulentas de Protocolo de escritorio remoto (RDP). Detalles técnicos La campaña de phishing atribuida a UAC-0215 utiliza archivos falsos del Protocolo de escritorio remoto (RDP) para infiltrarse en instituciones clave de Ucrania. Los correos electrónicos maliciosos están diseñados para parecer legítimos, incitando a los destinatarios a abrir archivos adjuntos que, en última instancia, comprometen sus sistemas. Cuando una víctima, sin saberlo, abre el archivo de configuración .rdp, conecta su computadora al servidor del atacante, otorgando amplio acceso a recursos locales críticos, que incluyen: Su navegador no admite la etiqueta de video. Unidades de disco Recursos de red Impresoras Puertos COM Dispositivos de audio Portapapeles Este acceso permite a los atacantes ejecutar scripts y programas no autorizados, comprometiendo aún más el sistema. Conclusión La inteligencia recopilada sugiere que la campaña UAC-0215 se extiende más allá de los objetivos ucranianos, lo que indica un potencial para ataques cibernéticos más amplios en múltiples regiones, especialmente en medio de tensiones intensificadas en el área, incluidos los recientes ataques cibernéticos a Ucrania que han generado preocupación internacional. Esta campaña destaca la creciente sofisticación de las tácticas de phishing empleadas contra Ucrania, ya que los atacantes explotaron las configuraciones de RDP para obtener un control significativo sobre los sistemas críticos dentro de los sectores público e industrial, poniendo en peligro la información confidencial y la integridad operativa. Recomendaciones y mitigaciones Para mitigar los riesgos planteados por UAC-0215 y amenazas similares, se recomienda a las organizaciones implementar las siguientes estrategias: Establecer mejores reglas de filtrado en la puerta de enlace de correo para bloquear correos electrónicos que contengan archivos adjuntos .rdp. Esta medida es fundamental para reducir la exposición a configuraciones maliciosas. Limite la capacidad de los usuarios para ejecutar archivos .rdp a menos que estén específicamente autorizados. Esta precaución minimizará el riesgo de ejecuciones accidentales que podrían dar lugar a infracciones. Configure los ajustes del firewall para evitar que el cliente de escritorio remoto de Microsoft (mstsc.exe) establezca conexiones RDP a recursos externos conectados a Internet. Este paso frustrará el acceso remoto no deseado y reducirá el potencial de explotación. Utilice la política de grupo para deshabilitar la redirección de recursos en sesiones RDP. Al establecer restricciones en “Redirección de dispositivos y recursos” en Servicios de escritorio remoto, las organizaciones pueden evitar que los atacantes accedan a los recursos locales durante las sesiones RDP. Relacionado
Leave a Reply