03 de septiembre de 2024Ravie LakshmananRansomware / Malware Un grupo de hacktivistas conocido como Head Mare ha sido vinculado a ciberataques que tienen como objetivo exclusivo a organizaciones ubicadas en Rusia y Bielorrusia. «Head Mare utiliza métodos más actualizados para obtener acceso inicial», dijo Kaspersky en un análisis del lunes sobre las tácticas y herramientas del grupo. «Por ejemplo, los atacantes aprovecharon la vulnerabilidad CVE-2023-38831 relativamente reciente en WinRAR, que permite al atacante ejecutar código arbitrario en el sistema a través de un archivo especialmente preparado. Este enfoque permite al grupo entregar y disfrazar la carga útil maliciosa de manera más efectiva». Head Mare, activo desde 2023, es uno de los grupos de hacktivistas que atacan a organizaciones rusas en el contexto del conflicto ruso-ucraniano que comenzó un año antes. También mantiene presencia en X, donde ha filtrado información confidencial y documentación interna de las víctimas. Los objetivos de los ataques del grupo incluyen a gobiernos, sectores de transporte, energía, manufactura y medio ambiente. A diferencia de otros personajes hacktivistas que probablemente operan con el objetivo de infligir «máximo daño» a las empresas de los dos países, Head Mare también cifra los dispositivos de las víctimas utilizando LockBit para Windows y Babuk para Linux (ESXi), y exige un rescate por el descifrado de datos. También forman parte de su conjunto de herramientas PhantomDL y PhantomCore, el primero de los cuales es una puerta trasera basada en Go que es capaz de entregar cargas útiles adicionales y cargar archivos de interés a un servidor de comando y control (C2). PhantomCore (también conocido como PhantomRAT), un predecesor de PhantomDL, es un troyano de acceso remoto con características similares, que permite descargar archivos del servidor C2, cargar archivos desde un host comprometido al servidor C2, así como ejecutar comandos en el intérprete de línea de comandos cmd.exe. «Los atacantes crean tareas programadas y valores de registro denominados MicrosoftUpdateCore y MicrosoftUpdateCoree para camuflar su actividad como tareas relacionadas con el software de Microsoft», afirmó Kaspersky. «También descubrimos que algunas muestras de LockBit utilizadas por el grupo tenían los siguientes nombres: OneDrive.exe [and] VLC.exe. Estas muestras se encontraban en el directorio C:\ProgramData, y se hacían pasar por aplicaciones legítimas de OneDrive y VLC. Se ha descubierto que ambos artefactos se distribuyen a través de campañas de phishing en forma de documentos comerciales con extensiones dobles (por ejemplo, решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe o тз на разработку.pdf.exe). Otro componente crucial de su arsenal de ataque es Sliver, un marco C2 de código abierto, y una colección de varias herramientas disponibles públicamente, como rsockstun, ngrok y Mimikatz, que facilitan el descubrimiento, el movimiento lateral y la recolección de credenciales. Las intrusiones culminan con la implementación de LockBit o Babuk dependiendo del entorno de destino, seguido de una nota de rescate que exige un pago a cambio de un descifrador para desbloquear los archivos. «Las tácticas, métodos, procedimientos y herramientas utilizadas por el grupo Head Mare son generalmente similares a las de otros grupos asociados con clústeres que tienen como objetivo a organizaciones en Rusia y Bielorrusia en el contexto del conflicto ruso-ucraniano», dijo el proveedor de ciberseguridad ruso. «Sin embargo, el grupo se distingue por utilizar malware personalizado como PhantomDL y PhantomCore, así como por explotar una vulnerabilidad relativamente nueva, CVE-2023-38831, para infiltrarse en la infraestructura de sus víctimas en campañas de phishing». ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Deja una respuesta