22 de junio de 2024Sala de prensaCiberespionaje/Inteligencia de amenazas Las organizaciones rusas han sido atacadas por una banda de ciberdelincuentes llamada ExCobalt utilizando una puerta trasera previamente desconocida basada en Golang conocida como GoRed. «ExCobalt se centra en el ciberespionaje e incluye a varios miembros activos desde al menos 2016 y presumiblemente alguna vez formaron parte de la notoria banda Cobalt», dijeron los investigadores de Positive Technologies Vladislav Lunin y Alexander Badayev en un informe técnico publicado esta semana. «Cobalt atacó a instituciones financieras para robar fondos. Una de las señas de identidad de Cobalt fue el uso de la herramienta CobInt, algo que ExCobalt comenzó a utilizar en 2022.» Los ataques organizados por el actor de amenazas han apuntado a varios sectores en Rusia durante el año pasado, incluidos el gobierno, la tecnología de la información, la metalurgia, la minería, el desarrollo de software y las telecomunicaciones. El acceso inicial a los entornos se facilita aprovechando un contratista previamente comprometido y un ataque a la cadena de suministro, en el que el adversario infectó un componente utilizado para construir el software legítimo de la empresa objetivo, lo que sugiere un alto grado de sofisticación. El modus operandi implica el uso de varias herramientas como Metasploit, Mimikatz, ProcDump, SMBExec, Spark RAT para ejecutar comandos en los hosts infectados y exploits de escalada de privilegios de Linux (CVE-2019-13272, CVE-2021-3156, CVE-2021- 4034 y CVE-2022-2586). GoRed, que ha pasado por numerosas iteraciones desde su inicio, es una puerta trasera integral que permite a los operadores ejecutar comandos, obtener credenciales y recopilar detalles de procesos activos, interfaces de red y sistemas de archivos. Utiliza el protocolo de llamada a procedimiento remoto (RPC) para comunicarse con su servidor de comando y control (C2). Es más, admite una serie de comandos en segundo plano para buscar archivos de interés y contraseñas, así como habilitar el shell inverso. Luego, los datos recopilados se exportan a la infraestructura controlada por el atacante. «ExCobalt continúa demostrando un alto nivel de actividad y determinación al atacar a las empresas rusas, agregando constantemente nuevas herramientas a su arsenal y mejorando sus técnicas», dijeron los investigadores. «Además, ExCobalt demuestra flexibilidad y versatilidad al complementar su conjunto de herramientas con utilidades estándar modificadas, que ayudan al grupo a eludir fácilmente los controles de seguridad y adaptarse a los cambios en los métodos de protección». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.