El gobierno ruso y las organizaciones de TI son el objetivo de una nueva campaña que distribuye una serie de puertas traseras y troyanos como parte de una campaña de phishing con nombre en código Viento del este.
Las cadenas de ataque se caracterizan por el uso de archivos adjuntos en formato RAR que contienen un archivo de acceso directo de Windows (LNK) que, al abrirse, activa la secuencia de infección, que culmina con el despliegue de malware como GrewApacha, una versión actualizada del backdoor CloudSorcerer y un implante previamente no documentado denominado PlugY.
PlugY «se descarga a través de la puerta trasera CloudSorcerer, tiene un amplio conjunto de comandos y admite tres protocolos diferentes para comunicarse con el servidor de comando y control», dijo la empresa de ciberseguridad rusa Kaspersky. dicho.
El vector de infección inicial se basa en un archivo LNK con trampa explosiva, que emplea Técnicas de carga lateral de DLL para lanzar un archivo DLL malicioso que utiliza Dropbox como mecanismo de comunicación para ejecutar comandos de reconocimiento y descargar cargas útiles adicionales.
Entre el malware distribuido mediante la DLL se encuentra GrewApacha, una puerta trasera conocida previamente vinculado al grupo APT31 vinculado a China. También se lanzó mediante carga lateral de DLL y utiliza un perfil de GitHub controlado por el atacante como resolver de punto muerto para almacenar una cadena codificada en Base64 del servidor C2 real.
Por otro lado, CloudSorcerer es una sofisticada herramienta de ciberespionaje que se utiliza para el monitoreo oculto, la recopilación de datos y la exfiltración a través de la infraestructura en la nube de Microsoft Graph, Yandex Cloud y Dropbox. Al igual que en el caso de GrewApacha, la variante actualizada aprovecha plataformas legítimas como LiveJournal y Quora como servidor C2 inicial.
«Al igual que con las versiones anteriores de CloudSorcerer, las biografías de los perfiles contienen un token de autenticación cifrado para interactuar con el servicio en la nube», dijo Kaspersky.
Además, utiliza un mecanismo de protección basado en cifrado que garantiza que el malware se detone solo en la computadora de la víctima mediante una clave única derivada del sistema operativo Windows. Función GetTickCount() en tiempo de ejecución.
La tercera familia de malware observada en los ataques es PlugY, una puerta trasera con todas las funciones que se conecta a un servidor de administración mediante TCP, UDP o canales con nombre y viene con capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo, registrar pulsaciones de teclas y capturar el contenido del portapapeles.
Kaspersky dijo que un análisis del código fuente de PlugX descubrió similitudes con una puerta trasera conocida llamada DRBControl (también conocida como Almejas), que ha sido atribuido a los grupos de amenazas del nexo con China identificados como APT27 y APT41.
«Los atacantes detrás de la campaña EastWind utilizaron servicios de red populares como servidores de comando: GitHub, Dropbox, Quora, así como los rusos LiveJournal y Yandex Disk», dijo la compañía.
La revelación viene de Kaspersky, quien también detalló un ataque de abrevadero que implica comprometer un sitio legítimo relacionado con el suministro de gas en Rusia para distribuir un gusano llamado CMoon que puede recolectar datos confidenciales y de pago, tomar capturas de pantalla, descargar malware adicional y lanzar ataques distribuidos de denegación de servicio (DDoS) contra objetivos de interés.
El malware también recopila archivos y datos de varios navegadores web, billeteras de criptomonedas, aplicaciones de mensajería instantánea, clientes SSH, software FTP, aplicaciones de grabación y transmisión de video, autenticadores, herramientas de escritorio remoto y VPN.
“CMoon es un gusano escrito en .NET, con amplia funcionalidad para el robo de datos y control remoto”, afirma dicho«Inmediatamente después de la instalación, el archivo ejecutable comienza a monitorear las unidades USB conectadas. Esto le permite robar archivos de potencial interés para los atacantes desde medios extraíbles, así como copiar un gusano en ellos e infectar otros equipos donde se utilizará la unidad».