Los actores de amenazas afiliados al Servicio de Inteligencia Exterior de Rusia (SVR) se han dirigido a servidores JetBrains TeamCity sin parches en ataques generalizados desde septiembre de 2023.
La actividad se ha vinculado a un grupo de estado-nación conocido como APT29, al que también se le sigue como BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (anteriormente Nobelium) y The Dukes. Es notable por el ataque a la cadena de suministro dirigido a SolarWinds y sus clientes en 2020.
La vulnerabilidad en cuestión es CVE-2023-42793 (puntuación CVSS: 9,8), una falla de seguridad crítica que podría ser utilizada como arma por atacantes no autenticados para lograr la ejecución remota de código en los sistemas afectados. Desde entonces, ha sido objeto de explotación activa por parte de grupos de piratas informáticos, incluidos aquellos asociados con Corea del Norte, para la distribución de malware.
Un acceso inicial exitoso suele ir seguido de reconocimiento, escalada de privilegios, movimiento lateral y exfiltración de datos, mientras que simultáneamente se toman medidas para evadir la detección utilizando una herramienta de código abierto llamada EDRSandBlast. El objetivo final de los ataques es implementar una puerta trasera con nombre en código GraphicalProton que funciona como un cargador para entregar cargas útiles adicionales.
GraphicalProton, también conocido como VaporRage, aprovecha OneDrive como canal de comunicación principal de comando y control (C2), con Dropbox tratado como un mecanismo alternativo. El actor de amenazas lo ha utilizado como parte de una campaña en curso denominada Diplomatic Orbiter que señala a las agencias diplomáticas de todo el mundo.
Se dice que hasta 100 dispositivos ubicados en EE. UU., Europa, Asia y Australia se vieron comprometidos como resultado de lo que se sospecha que son ataques oportunistas.
Los objetivos de la campaña incluyen una asociación comercial de energía; empresas que proporcionan software para facturación, dispositivos médicos, atención al cliente, seguimiento de empleados, gestión financiera, marketing, ventas y videojuegos; así como empresas de hosting, fabricantes de herramientas y pequeñas y grandes empresas de TI.
La divulgación se produce cuando Microsoft reveló el ataque múltiple de Rusia al sector agrícola de Ucrania entre junio y septiembre de 2023 para penetrar redes, exfiltrar datos y desplegar malware destructivo como SharpWipe (también conocido como WalnutWipe).
Las intrusiones se han vinculado a dos grupos de estados-nación con nombre en código Aqua Blizzard (anteriormente Actinium) y Seashell Blizzard (anteriormente Iridium), respectivamente.
También se ha observado que Seashell Blizzard aprovecha el software pirateado de Microsoft Office que alberga la puerta trasera DarkCrystalRAT (también conocida como DCRat) para obtener acceso inicial, usándolo posteriormente para descargar una carga útil de segunda etapa llamada Shadowlink que se hace pasar por Microsoft Defender pero, en realidad, instala un Servicio TOR para acceso remoto subrepticio.
Microsoft destacó además a un actor de influencia afiliado a Rusia al que llama Storm-1099 (también conocido como Doppelganger) por llevar a cabo sofisticadas operaciones de influencia pro Rusia dirigidas a partidarios internacionales de Ucrania desde la primavera de 2022.
Otros esfuerzos de influencia incluyen falsificar a los principales medios de comunicación y editar engañosamente videos de celebridades compartidos en Cameo para propagar contenido de video anti-Ucrania y difamar al presidente Volodymyr Zelensky al afirmar falsamente que padecía problemas de abuso de sustancias, lo que subraya los esfuerzos continuos para distorsionar las percepciones globales de la guerra.
