Una ciberamenaza políticamente motivada que apenas se discute en la esfera pública ha regresado en los últimos meses, con campañas contra agencias gubernamentales e individuos en Italia, India, Polonia y Ucrania.
“Winter Vivern” (también conocido como UAC-0114) ha estado activo desde al menos diciembre de 2020. Los analistas rastrearon su actividad inicial en 2021, pero el grupo ha permanecido fuera del ojo público en los años posteriores. Es decir, hasta que los ataques contra objetivos del gobierno de Ucrania y Polonia inspiraron informes sobre el resurgimiento de la actividad a principios de este año desde el Oficina Central de Delitos Cibernéticos de Polonia, y la Centro Estatal de Protección Cibernética del Servicio Estatal de Comunicación Especial y Protección de la Información de Ucrania.
En un análisis de seguimiento publicado esta semana, Tom Hegel, investigador principal de amenazas en SentinelOne, aclaró aún más los TTP del grupo y enfatizó su estrecha alineación "con objetivos globales que respaldan los intereses de los gobiernos de Bielorrusia y Rusia", y señaló que debe clasificarse como una amenaza persistente avanzada (APT) incluso aunque sus recursos no están a la par de sus otros pares de habla rusa.
Winter Vivern, un actor de amenazas 'Scrappy'
Winter Vivern, cuyo nombre es un derivado del wyvern, un tipo de dragón bípedo con una cola venenosa y puntiaguda "entra en una categoría de actores de amenazas rudimentarios", escribió Hegel. Son "bastante ingeniosos y capaces de lograr mucho con recursos potencialmente limitados, mientras están dispuestos a ser flexibles y creativos en su enfoque para la resolución de problemas".
La característica más definitoria del grupo son sus señuelos de phishing, generalmente documentos que imitan la literatura gubernamental legítima y disponible públicamente, que arrojan una carga maliciosa al abrirlos. Más recientemente, el grupo ha comenzado a imitar los sitios web del gobierno para distribuir sus desagradables. Vivern tiene sentido del humor, imitando las páginas de inicio pertenecientes a las principales agencias de defensa cibernética de Ucrania y Polonia, como se ve a continuación.
Sin embargo, la táctica más irónica del grupo es disfrazar su malware como software antivirus. Al igual que sus muchas otras campañas, "los escáneres falsos se envían por correo electrónico a los objetivos como avisos del gobierno", dice Hegel a Dark Reading.
Estos avisos instruyen a los destinatarios a escanear sus máquinas con este supuesto software antivirus. Las víctimas que descarguen el software falso del dominio del gobierno falso verán lo que parece ser un antivirus real ejecutándose, cuando, de hecho, se está descargando una carga útil maliciosa en segundo plano.
Esa carga útil, en los últimos meses, ha sido comúnmente aperitivo, un troyano que recopila detalles sobre las víctimas, establece la persistencia en una máquina de destino y se dirige a un servidor de comando y control controlado por el atacante (C2).
El grupo también emplea muchas otras tácticas y técnicas. En una campaña reciente contra Ucrania I Want to Live línea directa, recurrieron a un viejo favorito: un archivo de Microsoft Excel habilitado para macros.
Y "cuando el actor de amenazas busca comprometer a la organización más allá del robo de credenciales legítimas", escribió Hegel en su publicación, "Winter Vivern tiende a confiar en conjuntos de herramientas compartidos y el abuso de herramientas legítimas de Windows".
¿Winter Vivern, APT o hacktivistas?
La historia de Winter Vivern es dispersa y conduce a un perfil un tanto confuso.
Sus objetivos son APT puro: a principios de 2021, investigadores de DomainTools estaba analizando documentos de Microsoft Excel usando macros cuando se encontraron con uno con un nombre bastante inocuo: "contactos". La macro de contactos dejó caer una secuencia de comandos de PowerShell que se puso en contacto con un dominio que había estado activo desde diciembre de 2020. Tras una investigación más profunda, los investigadores descubrieron más de lo que esperaban: otros documentos maliciosos dirigidos a entidades dentro de Azerbaiyán, Chipre, India, Italia, Lituania. , Ucrania e incluso el Vaticano.
El grupo claramente todavía estaba activo en el verano, cuando Lab52 publicó noticias de una campaña en curso coincidiendo con el mismo perfil. Pero no fue hasta enero de 2023 que resurgió a la vista del público, luego de campañas contra miembros individuales del gobierno indio, el Ministerio de Relaciones Exteriores de Ucrania, el Ministerio de Relaciones Exteriores de Italia y otras agencias gubernamentales europeas.
“De particular interés”, señaló Hegel en su publicación de blog, “es el objetivo de la APT de empresas privadas, incluidas las organizaciones de telecomunicaciones que apoyan a Ucrania en la guerra en curso”.
Este énfasis especial en Ucrania agrega intriga a la historia ya que, en febrero, el gobierno de Ucrania solo pudo concluir “con un alto nivel de confianza” que “los miembros de habla rusa están presentes” dentro del grupo. Hegel ha ido ahora un paso más allá, al correlacionar directamente al grupo con los intereses estatales de Rusia y Bielorrusia.
“Con los lazos potenciales con Bielorrusia, es difícil determinar si se trata de una nueva organización o simplemente una nueva tarea de aquellos que conocemos bien”, dice Hegel a Dark Reading.
Aun así, el grupo no encaja en el perfil de una APT típica de un estado-nación. Su falta de recursos, su "desigualdad", en relación con sus contrapartes de gran impacto como Gusano de arena, Oso acogedor, Turla, y otros, colóquelos en una categoría más cercana al hacktivismo más común. “Poseen habilidades técnicas para lograr el acceso inicial, sin embargo, en este momento no se comparan con los actores rusos muy nuevos”, dice Hegel.
Más allá de las capacidades limitadas, "su conjunto muy limitado de actividades y objetivos es la razón por la que son tan desconocidos en el público", dice Hegel. Al final, puede estar a favor de Winter Vivern. Mientras carezca de ese mordisco adicional, puede continuar volando bajo el radar.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/threat-intelligence/low-budget-winter-vivern-apt-awakens-after-2-year-hibernation
