27 de abril de 2024Sala de prensaCyber ​​Attack/Malware Investigadores de ciberseguridad descubrieron una operación dirigida contra Ucrania que aprovechaba una falla de casi siete años en Microsoft Office para implementar Cobalt Strike en sistemas comprometidos. La cadena de ataque, que tuvo lugar a finales de 2023 según Deep Instinct, emplea un archivo de presentación de diapositivas de PowerPoint («signal-2023-12-20-160512.ppsx») como punto de partida, y el nombre del archivo implica que puede tener ha sido compartido a través de la aplicación de mensajería instantánea Signal. Dicho esto, no hay evidencia real que indique que el archivo PPSX se distribuyó de esta manera, a pesar de que el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha descubierto dos campañas diferentes que han utilizado la aplicación de mensajería como entrega de malware. vector en el pasado. La semana pasada, la agencia reveló que las fuerzas armadas ucranianas están siendo atacadas cada vez más por el grupo UAC-0184 a través de plataformas de mensajería y citas para servir malware como HijackLoader (también conocido como GHOSTPULSE y SHADOWLADDER), XWorm y Remcos RAT, así como software de código abierto. programas como sigtop y tusc para extraer datos de las computadoras. «El archivo PPSX (presentación de diapositivas de PowerPoint) parece ser un antiguo manual de instrucciones del ejército estadounidense para hojas de limpieza de minas (MCB) para tanques», dijo el investigador de seguridad Ivan Kosarev. «El archivo PPSX incluye una relación remota con un objeto OLE externo». Esto implica la explotación de CVE-2017-8570 (puntuación CVSS: 7,8), un error de ejecución remota de código ahora parcheado en Office que podría permitir a un atacante realizar acciones arbitrarias al convencer a una víctima de que abra un archivo especialmente diseñado para cargar un script remoto alojado en weavesilk[.]espacio. Posteriormente, el script fuertemente ofuscado inicia un archivo HTML que contiene código JavaScript, que, a su vez, configura la persistencia en el host a través del Registro de Windows y arroja una carga útil de la siguiente etapa que se hace pasar por el cliente VPN Cisco AnyConnect. La carga útil incluye una biblioteca de enlaces dinámicos (DLL) que finalmente inyecta un Cobalt Strike Beacon crackeado, una herramienta legítima de prueba de penetración, directamente en la memoria del sistema y espera más instrucciones de un servidor de comando y control (C2) («petapixel[.]fun»). La DLL también incluye funciones para comprobar si se está ejecutando en una máquina virtual y evadir la detección por parte del software de seguridad. Deep Instinct dijo que no podía vincular los ataques a un actor o grupo de amenazas específico ni excluir la posibilidad de una red ejercicio de equipo. Tampoco está claro el objetivo final exacto de la intrusión. «El señuelo contenía contenido relacionado con el ejército, lo que sugiere que estaba dirigido a personal militar», dijo Kosarev.[.]espacio y petapixel[.]La diversión se disfraza de un oscuro sitio de arte generativo (weavesilk[.]com) y un sitio de fotografía popular (petapixel[.]com). Estos no están relacionados, y es un poco desconcertante por qué un atacante los usaría específicamente para engañar al personal militar». La revelación se produce cuando CERT-UA reveló que alrededor de 20 proveedores de energía, agua y calefacción en Ucrania han sido atacados por un estado ruso. grupo patrocinado llamado UAC-0133, un subgrupo dentro de Sandworm (también conocido como APT44, FROZENBARENTS, Seashell Blizzard, UAC-0002 y Voodoo Bear), que es responsable de la mayor parte de todas las operaciones disruptivas y destructivas contra el país. , que tenía como objetivo sabotear operaciones críticas, implica el uso de malware como Kapeka (también conocido como ICYWELL, KnuckleTouch, QUEUESEED y evilsens) y su variante de Linux BIASBOAT, así como GOSSIPFLOW y LOADGRIP. Mientras que GOSSIPFLOW es un proxy SOCKS5 basado en Golang, LOADGRIP. es un binario ELF escrito en C que se utiliza para cargar BIASBOAT en hosts Linux comprometidos. Sandworm es un grupo de amenazas prolífico y altamente adaptable vinculado a la Unidad 74455 dentro de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). Se sabe que está activo desde al menos 2009, y el adversario también está vinculado a tres personajes hacktivistas que piratean y filtran, como XakNet Team, CyberArmyofRussia_Reborn y Solntsepek. «Patrocinado por la inteligencia militar rusa, APT44 es un actor de amenazas dinámico y operacionalmente maduro que participa activamente en todo el espectro de operaciones de espionaje, ataque e influencia», dijo Mandiant, describiendo la amenaza persistente avanzada (APT) como involucrada en un multi esfuerzo para ayudar a Rusia a obtener una ventaja en tiempos de guerra desde enero de 2022. «Las operaciones del APT44 tienen un alcance global y reflejan los amplios intereses y ambiciones nacionales de Rusia. Los patrones de actividad a lo largo del tiempo indican que el APT44 tiene la tarea de una variedad de prioridades estratégicas diferentes y es «Es muy probable que el Kremlin lo vea como un instrumento de poder flexible capaz de satisfacer necesidades de inteligencia tanto duraderas como emergentes». ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.