Una gran empresa de desarrollo de software cuyo software es utilizado por diferentes entidades estatales en Ucrania estaba en el extremo receptor de una pieza de malware «poco común», según ha descubierto una nueva investigación.
El malware, observado por primera vez en la mañana del 19 de mayo de 2022, es una variante personalizada de la puerta trasera de código abierto conocida como GoMet y está diseñado para mantener un acceso persistente a la red.
«Este acceso podría aprovecharse de varias maneras, incluido un acceso más profundo o para lanzar ataques adicionales, incluido el potencial de compromiso de la cadena de suministro de software», Cisco Talos. dijo en un informe compartido con The Hacker News.
Aunque no hay indicadores concretos que vinculen el ataque a un solo actor o grupo, la evaluación de la firma de ciberseguridad apunta a la actividad del estado-nación ruso.
Hasta ahora, los informes públicos sobre el uso de GoMet en ataques del mundo real han descubierto solo dos casos documentados: uno en 2020, coincidiendo con la divulgación de CVE-2020-5902, una falla crítica de ejecución remota de código en la red BIG-IP de F5. dispositivos.
La segunda instancia implicó la explotación exitosa de CVE-2022-1040, una vulnerabilidad de ejecución remota de código en Sophos Firewall, por parte de un grupo anónimo de amenazas persistentes avanzadas (APT) a principios de este año.
«No hemos visto GoMet implementado en otras organizaciones con las que hemos estado trabajando de cerca y monitoreando, lo que implica que está dirigido de alguna manera, pero podría usarse contra objetivos adicionales de los que no tenemos visibilidad», Nick Biasini, jefe de alcance de Cisco Talos, dijo a The Hacker News.
«También hemos realizado un análisis histórico relativamente riguroso y vemos muy poco uso de GoMet históricamente, lo que indica además que se está utilizando de manera muy específica».
GoMet, como su nombre lo indica, está escrito en Go y viene con funciones que permiten al atacante controlar de forma remota el sistema comprometido, incluida la carga y descarga de archivos, la ejecución de comandos arbitrarios y el uso del punto de apoyo inicial para propagarse a otras redes y sistemas a través de lo que está llamado a cadena de margaritas.
Otra característica notable del implante es su capacidad para ejecutar trabajos programados utilizando cron. Si bien el código original está configurado para ejecutar trabajos cron una vez cada hora, la versión modificada de la puerta trasera utilizada en el ataque está diseñada para ejecutarse cada dos segundos y determinar si el malware está conectado a un servidor de comando y control.
«La mayoría de los ataques que hemos visto últimamente están relacionados con el acceso, ya sea directamente o mediante la adquisición de credenciales», dijo Biasini. «Este es otro ejemplo de eso con GoMet implementado como una puerta trasera».
«Una vez que se ha establecido el acceso, pueden seguir un reconocimiento adicional y operaciones más exhaustivas. Estamos trabajando para eliminar los ataques antes de que lleguen a esta etapa, por lo que es difícil predecir los tipos de ataques posteriores».
Los hallazgos llegan como el Comando Cibernético de EE. UU. el miércoles. compartido los indicadores de compromiso (IoC) pertenecientes a diferentes tipos de malware como GrimPlant, GraphSteel, Cobalt Strike Beacon y MicroBackdoor dirigidos a redes ucranianas en los últimos meses.
Desde entonces, la empresa de ciberseguridad Mandiant ha atribuido los ataques de phishing a dos actores de espionaje rastreados como UNC1151 (también conocido como Ghostwriter) y UNC2589, el último de los cuales se sospecha que «actúa en apoyo de los intereses del gobierno ruso y ha estado realizando una amplia recopilación de espionaje en Ucrania».