Un sofisticado grupo de amenaza persistente avanzada (APT) patrocinado por el estado (APT) conocido como Lavandry Bear se ha convertido en una importante preocupación de seguridad cibernética, dirigida a los países de la OTAN y Ucrania a través de una extensa campaña de espionaje e recolección de inteligencia.
También rastreado como Void Blizzard por la inteligencia de amenazas de Microsoft, este actor de amenaza ha estado operando activamente desde al menos abril de 2024, lo que demuestra capacidades avanzadas en la ingeniería social y la ofuscación de infraestructura.
El grupo ha centrado estratégicamente sus operaciones en objetivos de alto valor, incluida la fuerza policial holandesa, una organización de aviación ucraniana y múltiples organizaciones no gubernamentales europeas y estadounidenses.
Su metodología de ataque se basa en gran medida en las credenciales robadas y las cookies de sesiones para el acceso inicial, combinados con sofisticadas campañas de phishing de lanza que utilizan tytriposquats de dominio cuidadosamente diseñados diseñados para engañar incluso a los usuarios conscientes de la seguridad.
Analistas válidos identificado La infraestructura del actor de amenaza a través del análisis exhaustivo de los indicadores inicialmente informados, descubriendo una red compleja de dominios maliciosos y la infraestructura de apoyo.
La investigación reveló que Lavry Bear opera a través de tres indicadores de dominio primario: MicsroSoFtonline (.) Comiendo como la principal plataforma de phishing de lanza utilizando marcos EvilGinX, Ebsumrnit (.) Funcionamiento de la UE como un remitente de correo electrónico malicioso y Outlook-Office (.) MICSROSOFTONLINE (.) COMA COMO COMO UN Subdominio de phishing adicional.
Página de ‘Logística de Globalship’ devuelta por varios dominios (fuente – Validin)
La seguridad operativa del grupo de amenazas demuestra una planificación y ejecución sofisticadas.
Los informes iniciales de Microsoft proporcionaron la base para un análisis de infraestructura más profundo, revelando patrones sistemáticos en el registro y la implementación de dominios que sugieren la gestión coordinada de la campaña en múltiples fases operativas.
Análisis de infraestructura y tipoquatación de dominio
El enfoque táctico más notable de Lavery Bear implica la creación sistemática de dominios parecidos que imitan de cerca los servicios legítimos.
El grupo registró múltiples variaciones del dominio de la cumbre de negocios europeo, incluidos Ebsumrnit (.) Eu, EbsurnMit (.) Eu, Ebsummlt (.) Eu, Ebsummt (.) Eu, Ebsumlts (.) Eu y Ebsos (.) Eu, todos utilizando los mismos patrones de infraestructura y métodos de registro.
El análisis técnico revela la preferencia del grupo por PDR Ltd. como su registrador de dominio, utilizando constantemente los servidores de nombres de CloudFlare y las direcciones de correo electrónico de preservación de la privacidad de los servicios de OnionMail (.).
Los dominios emplean registros de Mailgun (.) Org DNS para la funcionalidad de correo electrónico, con cada dominio malicioso configurado con subdominios de correo electrónico específicos que apuntan a la infraestructura de Mailgun a través de registros CNAME.
Las técnicas de redirección basadas en JavaScript del grupo demuestran sofisticación técnica.
El análisis de las respuestas HTTP capturadas reveló un uso consistente de Window.location.href Redirectores, con la siguiente estructura de código implementada en múltiples dominios comprometidos:—–
window.location.href = “https://outlook.live.com”
Infraestructura girando a través de los hashes de SHA1 del cuerpo, específicamente 38C47D338A9C5AB7CCEF7413EDB7B2112BDFC56F y 2C0FA608BD243FCE6F69ECE34AdDF32571E8368F, reveló dominios adicionales, incluidos los dominios de los primeros enticadores (.)) (.)) (.))) Tienda de mucama (.) y it-sharepoint (.) com.
Estos descubrimientos ampliaron significativamente la huella de infraestructura conocida, lo que demuestra las extensas capacidades operativas del grupo y la planificación estratégica a largo plazo para mantener el acceso persistente a entornos objetivo.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
