23 de julio de 2024Sala de prensaEspionaje cibernético / Malware El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha alertado sobre una campaña de phishing dirigida a una institución de investigación científica del país con malware conocido como HATVIBE y CHERRYSPY. La agencia atribuyó el ataque a un actor de amenazas al que rastrea bajo el nombre UAC-0063, que anteriormente se había observado que atacaba a varias entidades gubernamentales para recopilar información confidencial mediante keyloggers y puertas traseras. El ataque se caracteriza por el uso de una cuenta de correo electrónico comprometida que pertenece a un empleado de la organización para enviar mensajes de phishing a «docenas» de destinatarios que contienen un archivo adjunto de Microsoft Word (DOCX) con macros. Al abrir el documento y habilitar las macros se ejecuta una aplicación HTML codificada (HTA) llamada HATVIBE, que configura la persistencia en el host mediante una tarea programada y allana el camino para una puerta trasera de Python con nombre en código CHERRYSPY, que es capaz de ejecutar comandos emitidos por un servidor remoto. CERT-UA dijo que detectó «numerosos casos» de infecciones de HATVIBE que explotan una falla de seguridad conocida en HTTP File Server (CVE-2024-23692, puntuación CVSS: 9.8) para el acceso inicial. UAC-0063 se ha asociado con un grupo de estado-nación vinculado a Rusia denominado APT28 con una confianza moderada. APT28, que también se conoce como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, está afiliado a la unidad de inteligencia militar estratégica de Rusia, el GRU. El desarrollo se produce después de que CERT-UA detallara otra campaña de phishing dirigida a empresas de defensa ucranianas con archivos PDF con trampas explosivas que incorporan un enlace que, al hacer clic, descarga un ejecutable (también conocido como GLUEEGG), que es responsable de descifrar y ejecutar un cargador basado en Lua llamado DROPCLUE. DROPCLUE está diseñado para abrir un documento señuelo para la víctima, mientras descarga de forma encubierta un programa legítimo de escritorio remoto llamado Atera Agent utilizando la utilidad curl. El ataque se ha vinculado a un clúster rastreado como UAC-0180. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.