Las organizaciones que fueron víctimas de Andromeda, un malware básico que data de hace 12 años, parecen estar en riesgo de verse comprometidas por el grupo de amenazas persistentes avanzadas (APT) respaldado por Moscú, rastreado de diversas maneras como UNC2410 o Turla, según Mandiant, que ha observado el grupo que reactiva la infraestructura de comando y control (C2) de segunda mano en una campaña de un año contra objetivos ucranianos.
Andromeda es un troyano que realiza varias funciones, entre las que destaca la descarga de otro malware utilizado para vigilar o robar datos de las víctimas. Como bot modular, sus capacidades también podrían expandirse si se desea. Estaba vinculado a la botnet Andromeda supuestamente ideada por un ciudadano bielorruso que fue arrestado en 2017.
En un momento, uno de los malwares más extendidos que se han visto en la naturaleza, todavía aparece de vez en cuando, especialmente en 2021, cuando se encontró al acecho en los discos duros de las computadoras portátiles restauradas que se entregaron a niños vulnerables como parte de un esquema del gobierno del Reino Unido.
Mandiant dijo que ahora tiene evidencia de que Turla ha vuelto a registrar dominios C2 vencidos utilizados por grupos de amenazas con motivación financiera para distribuir Andromeda en la década de 2010.
Su uso de la infraestructura C2 de Andromeda parece haber comenzado en enero de 2022, cuando Turla comenzó a perfilar nuevas víctimas mediante la difusión de llaves USB comprometidas que contenían Andromeda en Ucrania, donde se encuentran todas las víctimas conocidas de esta campaña. Esto habría sido antes de la invasión de Rusia en febrero y, según Mandiant, esta es la primera observación de la actividad de Turla relacionada con la guerra.
La infraestructura C2 se usó para recopilar información básica del sistema y direcciones IP de las víctimas y ayudar a Turla a determinar si atacarlas o no de verdad. Luego los apuntó con una utilidad de reconocimiento llamada Kopiluwak, después de lo cual implementó la puerta trasera Quietcanary que robó datos, incluidos documentos de Microsoft Office, PDF, archivos de texto y archivos LNK.
“Los medios extraíbles siguen siendo una herramienta poderosa, aunque indiscriminada, tanto para los ciberdelincuentes como para los actores estatales. Turla, que se ha relacionado con el FSB, usó medios extraíbles antes en un incidente generalizado que condujo a una proliferación masiva y ruidosa en todo el Departamento de Defensa. [US Department of Defence] sistemas hace más de una década. La proliferación de Agent.BTZ, claramente más allá de la intención del servicio, condujo a una respuesta y exposición sin precedentes de las operaciones del FSB”, dijo el jefe de inteligencia de amenazas de Mandiant, John Hultquist.
“Este incidente es familiar, pero el nuevo giro es que los actores no están lanzando su propio malware USB a la naturaleza. Ahora, se están aprovechando del trabajo de otro actor para hacerse cargo de su mando y control. Al hacerlo, Turla se elimina del trabajo sucio de alto perfil de la proliferación, pero aún puede seleccionar víctimas de interés.
“Los accesos obtenidos por los ciberdelincuentes son una herramienta cada vez más aprovechada por los servicios de inteligencia rusos que pueden comprarlos o robarlos para sus propios fines”, agregó.
Hultquist dijo que al explotar malware antiguo y conocido y su infraestructura, era más probable que los defensores pasaran por alto la operación de Turla, ya que tienen que dedicar tiempo a clasificar una amplia variedad de alertas.
Esta no es la primera vez que se observa a Turla explotando el trabajo de otros inútiles para sus propios fines. A principios de 2020, se supo que había estado secuestrando de manera oportunista la infraestructura iraní y usó implantes robados de APT34, vinculado a Teherán, para atacar a las víctimas.
Más atrás, también se cree que utilizó malware atribuido al estado chino en una serie de ataques en 2012, descargando y luego desinstalando el malware para desviar la atención de sus propias actividades.
Aunque la operación de Turla se centró en Ucrania, el objetivo de Turla ha abarcado países de la OTAN en el pasado. Como tal, las organizaciones en sectores en los que se sabe que tienen interés deben estar alerta. Estos incluyen, entre otros, organizaciones militares, departamentos gubernamentales, instituciones académicas y de investigación, y empresas editoriales y de medios. Los objetivos a menudo tienen intereses específicos en investigación científica y energética, y asuntos diplomáticos. Una lista completa de indicadores de compromiso (IoC) está disponible en Mandiant.