El Reino Unido, Estados Unidos y Canadá acusaron a un grupo de hackers conocido como APT29, "los Duques" u "Oso Acogedor" de intentar comprometer a las organizaciones involucradas en la investigación relacionada con COVID-19 para robar información de los investigadores que buscan una vacuna contra el coronavirus.
Una alerta publicada por el Centro Nacional de Seguridad Cibernética Británica (NCSC) detalla las Tácticas, Técnicas y Procedimientos (TTP) recientes del grupo. Dice que los objetivos conocidos de APT29 incluyen organizaciones de investigación y desarrollo de vacunas del Reino Unido, Estados Unidos y Canadá y que las campañas maliciosas orquestadas por los piratas informáticos todavía están en curso. El grupo utiliza una variedad de herramientas y técnicas, incluido el spear phishing y el malware personalizado conocido como "WellMess" y "WellMail".
La evaluación del NCSC cuenta con el respaldo de otros socios del Canadian Communication Security Establishment (CSE), el Departamento de Seguridad Nacional (DHS) de la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) y la Agencia de Seguridad Nacional (NSA).
Las agencias no dieron detalles sobre si alguna información fue robada, pero el Reino Unido dice que no se cree que la información confidencial de las personas haya sido comprometida.
Según el aviso , APT29 con frecuencia utiliza exploits disponibles públicamente para comprometer los sistemas vulnerables y robar credenciales de autenticación para permitir un mayor acceso.
“En ataques recientes dirigidos a la investigación y el desarrollo de la vacuna COVID-19, el grupo realizó un escaneo básico de vulnerabilidades contra direcciones IP externas específicas de las organizaciones. Luego, el grupo desplegó hazañas públicas contra los servicios vulnerables identificados ”, dijo la agencia británica.
Las vulnerabilidades específicas incluyen CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure), CVE-2018-13379 (FortiOS) y CVE-2019-9670 (Zimbra).
En algunos casos, APT29 implementa herramientas de malware personalizadas llamadas WellMess y WellMail para realizar operaciones adicionales en un sistema comprometido. El primero es un malware ligero diseñado para ejecutar comandos de shell arbitrarios, cargar y descargar archivos, mientras que la segunda herramienta se utiliza para ejecutar comandos o scripts con los resultados que se envían a un servidor de Comando y Control (C2) codificado.
El aviso también proporciona reglas e IoC para ayudar a las organizaciones a combatir esta amenaza.
