31 de julio de 2024Ravie LakshmananCiberespionaje / Inteligencia de amenazas Las empresas de Rusia y Moldavia han sido el objetivo de una campaña de phishing orquestada por un grupo de ciberespionaje poco conocido conocido como XDSpy. Los hallazgos provienen de la empresa de ciberseguridad FACCT, que dijo que las cadenas de infección conducen a la implementación de un malware llamado DSDownloader. La actividad se observó este mes, agregó. XDSpy es un actor de amenazas de origen indeterminado que fue descubierto por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Bielorrusia, CERT.BY, en febrero de 2020. Un análisis posterior de ESET atribuyó al grupo a ataques de robo de información dirigidos a agencias gubernamentales en Europa del Este y los Balcanes desde 2011. Se sabe que las cadenas de ataque montadas por el adversario aprovechan los correos electrónicos de phishing para infiltrarse en sus objetivos con un módulo de malware principal conocido como XDDown que, a su vez, coloca complementos adicionales para recopilar información del sistema, enumerar la unidad C:, monitorear unidades externas, exfiltrar archivos locales y recopilar contraseñas. Durante el año pasado, se observó que XDSpy apuntaba a organizaciones rusas con un dropper basado en C# llamado UTask que es responsable de descargar un módulo central en forma de ejecutable que puede obtener más cargas útiles de un servidor de comando y control (C2). El último conjunto de ataques implica el uso de correos electrónicos de phishing con señuelos relacionados con acuerdos para propagar un archivo RAR que contiene un ejecutable legítimo y un archivo DLL malicioso. Luego, el DLL se ejecuta mediante el primero utilizando técnicas de carga lateral de DLL. En la siguiente fase, la biblioteca se encarga de buscar y ejecutar DSDownloader, que, a su vez, abre un archivo señuelo como distracción mientras descarga subrepticiamente el malware de la siguiente etapa desde un servidor remoto. FACCT dijo que la carga útil ya no estaba disponible para su descarga en el momento del análisis. El inicio de la guerra ruso-ucraniana en febrero de 2022 ha sido testigo de una escalada significativa de los ataques cibernéticos en ambos lados, con empresas rusas comprometidas por DarkWatchman RAT, así como por grupos de actividad rastreados como Core Werewolf, Hellhounds, PhantomCore, Rare Wolf, ReaverBits y Sticky Werewolf, entre otros en los últimos meses. Además, grupos hacktivistas pro-ucranianos como Cyber.Anarchy.Squad también han puesto sus miras en entidades rusas, llevando a cabo operaciones de piratería y filtración y ataques disruptivos contra Infotel y Avanpost. El desarrollo se produce después de que el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtiera sobre un aumento en los ataques de phishing llevados a cabo por un actor de amenazas bielorruso llamado UAC-0057 (también conocido como GhostWriter y UNC1151) que distribuye una familia de malware conocida como PicassoLoader con el objetivo de dejar caer un Cobalt Strike Beacon en los hosts infectados. También sigue al descubrimiento de una nueva campaña del grupo Turla vinculado a Rusia que utiliza un archivo de acceso directo de Windows (LNK) malicioso como conducto para servir una puerta trasera sin archivos que puede ejecutar scripts de PowerShell recibidos de un servidor legítimo pero comprometido y deshabilitar las funciones de seguridad. «También emplea parches de memoria, omite AMSI y desactiva las funciones de registro de eventos del sistema para perjudicar la defensa del sistema y mejorar su capacidad de evasión», dijeron los investigadores de G DATA. «Aprovecha msbuild.exe de Microsoft para implementar AWL (Application Whitelist) Bypass para evitar la detección». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.