12 de agosto de 2024Ravie LakshmananSeguridad en la nube / Malware El gobierno ruso y las organizaciones de TI son el objetivo de una nueva campaña que distribuye una serie de puertas traseras y troyanos como parte de una campaña de phishing con nombre en código EastWind. Las cadenas de ataque se caracterizan por el uso de archivos adjuntos en formato RAR que contienen un archivo de acceso directo de Windows (LNK) que, al abrirse, activa la secuencia de infección, que culmina con la implementación de malware como GrewApacha, una versión actualizada de la puerta trasera CloudSorcerer y un implante no documentado previamente denominado PlugY. PlugY se «descarga a través de la puerta trasera CloudSorcerer, tiene un amplio conjunto de comandos y admite tres protocolos diferentes para comunicarse con el servidor de comando y control», dijo la empresa de ciberseguridad rusa Kaspersky. El vector de infección inicial se basa en un archivo LNK con trampa explosiva, que emplea técnicas de carga lateral de DLL para lanzar un archivo DLL malicioso que utiliza Dropbox como mecanismo de comunicación para ejecutar comandos de reconocimiento y descargar cargas útiles adicionales. Entre el malware implementado mediante la DLL se encuentra GrewApacha, una puerta trasera conocida anteriormente vinculada al grupo APT31 vinculado a China. También se lanzó mediante carga lateral de DLL y utiliza un perfil de GitHub controlado por el atacante como un solucionador de punto muerto para almacenar una cadena codificada en Base64 del servidor C2 real. CloudSorcerer, por otro lado, es una sofisticada herramienta de ciberespionaje utilizada para monitoreo oculto, recopilación de datos y exfiltración a través de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox. Al igual que en el caso de GrewApacha, la variante actualizada aprovecha plataformas legítimas como LiveJournal y Quora como servidor C2 inicial. «Al igual que con las versiones anteriores de CloudSorcerer, las biografías de los perfiles contienen un token de autenticación cifrado para interactuar con el servicio en la nube», dijo Kaspersky. Además, utiliza un mecanismo de protección basado en cifrado que garantiza que el malware se detone solo en la computadora de la víctima mediante una clave única que se deriva de la función GetTickCount() de Windows en tiempo de ejecución. La tercera familia de malware observada en los ataques es PlugY, una puerta trasera con todas las funciones que se conecta a un servidor de administración mediante TCP, UDP o canalizaciones con nombre, y viene con capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo, registrar las pulsaciones de teclas y capturar el contenido del portapapeles. Kaspersky dijo que un análisis del código fuente de PlugX descubrió similitudes con una puerta trasera conocida llamada DRBControl (también conocida como Clambling), que se ha atribuido a los clústeres de amenazas del nexo con China rastreados como APT27 y APT41. «Los atacantes detrás de la campaña EastWind utilizaron servicios de red populares como servidores de comando: GitHub, Dropbox, Quora, así como LiveJournal y Yandex Disk rusos», dijo la compañía. La revelación se produce después de que Kaspersky también detalló un ataque de abrevadero que implica comprometer un sitio legítimo relacionado con el suministro de gas en Rusia para distribuir un gusano llamado CMoon que puede recolectar datos confidenciales y de pago, tomar capturas de pantalla, descargar malware adicional y lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés. El malware también recopila archivos y datos de varios navegadores web, billeteras de criptomonedas, aplicaciones de mensajería instantánea, clientes SSH, software FTP, aplicaciones de grabación y transmisión de video, autenticadores, herramientas de escritorio remoto y VPN. «CMoon es un gusano escrito en . NET, con una amplia funcionalidad para el robo de datos y el control remoto», dijo. «Inmediatamente después de la instalación, el archivo ejecutable comienza a monitorear las unidades USB conectadas. Esto le permite robar archivos de potencial interés para los atacantes desde medios extraíbles, así como copiar un gusano en ellos e infectar otros equipos donde se utilizará la unidad». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.