Amazon confisca dominios utilizados en campañas de robo de datos
El gigante Amazon ha confiscado diversos dominios que fueron empleados por el grupo de hackers rusos llamado APT29, los cuales dirigieron ataques contra organizaciones gubernamentales y militares. Esto con el fin de robar credenciales y datos de Windows, mediante archivos maliciosos de conexión del Protocolo de Escritorio Remoto.
El grupo APT29, conocido también como “Cozy Bear” y “Midnight Blizzard”, es un grupo de ciberespionaje que es patrocinado por el gobierno ruso y está vinculado al Servicio de Inteligencia Exterior o SVR de la Federación Rusa.
Amazon ha aclarado que, aunque las páginas de phishing que empleó el grupo de ciberdelincuentes se hicieron pasar por dominios de Amazon Web Services o AWS, la empresa o las credenciales para su plataforma en la nube fueron objetivos directos de estos ataques.
Algunos de los nombres de dominio que emplearon, intentaron engañar a los objetivos, haciéndoles creer que los dominios eran los legítimos de AWS. Sin embargo, Amazon no era el objetivo principal y tampoco el grupo que buscaba las credenciales de AWS, según un comunicado publicado por los portavoces del gigante corporativo.
Aunado a esto, el grupo APT29 buscó las credenciales de Windows de sus objetivos por medio de Microsoft Remote Desktop. Cuando los equipos de ciberseguridad se enteraron de esta actividad maliciosa, iniciaron de inmediato el proceso de confiscación de los dominios que el grupo de ciberdelincuentes estaba utilizando, que se hacían pasar por AWS para interrumpir la operación.
Estos actores de amenazas son conocidos por sus sofisticados ataques dirigidos a gobiernos, centros de estudios e instituciones de investigación de todo el orbe. A menudo, utilizan el phishing y el malware para robar información confidencial.
Los hackers maliciosos nunca descansan con tal de cumplir sus objetivos. Por esta razón, los sistemas de defensa informática de tu empresa siempre deben estar operativos. TIC Defense puede proveer productos, soluciones, servicios y herramientas de última tecnología, con el fin de prevenir y dar respuesta rápida a cualquier incidente de índole malicioso.
Aunque la reciente campaña de APT29 tuvo un impacto significativo en Ucrania, en donde fue descubierto por primera vez, tuvo un amplio alcance y apuntó a varios países considerados adversarios y enemigos de Rusia.
Del mismo modo, Amazon señala que, en esta campaña en particular, el grupo malicioso envió correos electrónicos de phishing a una cantidad mucho mayor de objetivos de lo que suele hacer regularmente. Esto siguiendo el enfoque opuesto a su típica estrategia de atacar objetivos específicos.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania o CERT-UA, publicó un aviso acerca de los archivos adjuntos de nombre “Rogue RDP” para advertir acerca de la actividad maliciosa de correo electrónico masivo. Estos mensajes empleaban el tema de abordar problemas de “integración” con los servicios de Amazon y Microsoft, con el fin de implementar una arquitectura de ciberseguridad de “confianza cero” o Zero Trust Architecture (ZTA).
Los emails incluían archivos de conexión RDP o Remote Desktop Protocol, con nombres como “Zero Trust Security Environment Compliance Check.rdp”, los cuales iniciaban automáticamente conexiones a servidores maliciosos cuando se abrían. Además, estos archivos maliciosos compartían todos los recursos locales con el servidor RDP controlado por el atacante, incluidos discos y archivos locales, recursos de red, impresoras, puertos COM, dispositivos de audio y portapapeles.
