10 de junio de 2024Sala de prensaCiberespionaje/malware Investigadores de ciberseguridad han revelado detalles de un actor de amenazas conocido como Sticky Werewolf que se ha vinculado a ataques cibernéticos dirigidos a entidades en Rusia y Bielorrusia. Los ataques de phishing estaban dirigidos a una compañía farmacéutica, un instituto de investigación ruso que se ocupa de microbiología y desarrollo de vacunas, y el sector de la aviación, expandiéndose más allá de su enfoque inicial de organizaciones gubernamentales, dijo Morphisec en un informe la semana pasada. «En campañas anteriores, la cadena de infección comenzaba con correos electrónicos de phishing que contenían un enlace para descargar un archivo malicioso de plataformas como gofile.io», dijo el investigador de seguridad Arnold Osipov. «Esta última campaña utilizó archivos que contenían archivos LNK que apuntaban a una carga útil almacenada en servidores WebDAV». Sticky Werewolf, uno de los muchos actores de amenazas que apuntan a Rusia y Bielorrusia, como Cloud Werewolf (también conocido como Inception y Cloud Atlas), Quartz Wolf, Red Wolf (también conocido como RedCurl) y Scaly Wolf, fue documentado por primera vez por BI.ZONE en octubre de 2023. Se cree que el grupo está activo desde al menos abril de 2023. Ataques anteriores documentados por la empresa de ciberseguridad aprovecharon correos electrónicos de phishing con enlaces a cargas útiles maliciosas que culminaron con la implementación del troyano de acceso remoto (RAT) NetWire, cuya infraestructura fue desactivada anticipadamente. el año pasado tras una operación policial. La nueva cadena de ataque observada por Morphisec implica el uso de un archivo adjunto RAR que, cuando se extrae, contiene dos archivos LNK y un documento PDF señuelo, este último afirma ser una invitación a una videoconferencia e insta a los destinatarios a hacer clic en el Archivos LNK para obtener la agenda de la reunión y la lista de distribución de correo electrónico. Al abrir cualquiera de los archivos LNK se activa la ejecución de un binario alojado en un servidor WebDAV, lo que conduce al inicio de un script por lotes de Windows ofuscado. El script, a su vez, está diseñado para ejecutar un script AutoIt que finalmente inyecta la carga útil final, evitando al mismo tiempo el software de seguridad y los intentos de análisis. «Este ejecutable es un archivo autoextraíble del NSIS que forma parte de un cifrador previamente conocido llamado CypherIT», dijo Osipov. «Si bien el cifrado CypherIT original ya no se vende, el ejecutable actual es una variante del mismo, como se observó en un par de foros de piratería». El objetivo final de la campaña es ofrecer RAT básicos y malware ladrón de información como Rhadamanthys y Ozone RAT. «Si bien no hay evidencia definitiva que apunte a un origen nacional específico para el grupo Sticky Werewolf, el contexto geopolítico sugiere posibles vínculos con un grupo de ciberespionaje proucraniano o hacktivistas, pero esta atribución sigue siendo incierta», dijo Osipov. El desarrollo se produce cuando BI.ZONE reveló un grupo de actividades con nombre en código Sapphire Werewolf que ha sido atribuido como detrás de más de 300 ataques en los sectores rusos de educación, manufactura, TI, defensa e ingeniería aeroespacial utilizando Amethyst, una rama del popular SapphireStealer de código abierto. . En marzo de 2024, la compañía rusa también descubrió grupos denominados Fluffy Wolf y Mysterious Werewolf que han utilizado señuelos de phishing para distribuir Remote Utilities, XMRig miner, WarZone RAT y una puerta trasera personalizada denominada RingSpy. «La puerta trasera RingSpy permite a un adversario ejecutar comandos de forma remota, obtener sus resultados y descargar archivos de recursos de red», señaló. «La puerta trasera [command-and-control] El servidor es un bot de Telegram». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.