Un actor de amenazas previamente indocumentado apodado yorotrooper ha estado apuntando a organizaciones gubernamentales, energéticas e internacionales en toda Europa como parte de una campaña de ciberespionaje que ha estado activa desde al menos junio de 2022.
«La información robada de compromisos exitosos incluye credenciales de múltiples aplicaciones, historiales de navegación y cookies, información del sistema y capturas de pantalla», los investigadores de Cisco Talos, Asheer Malhotra y Vitor Ventura. dicho en un análisis del martes.
Entre los países destacados a los que se dirigen se incluyen Azerbaiyán, Tayikistán, Kirguistán, Turkmenistán y otras naciones de la Comunidad de Estados Independientes (CEI).
Se cree que el actor de amenazas habla ruso debido a los patrones de victimología y la presencia de fragmentos cirílicos en algunos de los implantes.
Dicho esto, se ha descubierto que el conjunto de intrusión YoroTrooper exhibe superposiciones tácticas con el equipo PoetaRAT que se documentó en 2020 como un aprovechamiento de los cebos con el tema del coronavirus para atacar a los sectores gubernamentales y energéticos en Azerbaiyán.
Los objetivos de recopilación de datos de YoroTrooper se logran a través de una combinación de malware de ladrón de código abierto y de productos básicos, como AVE María (también conocido como Warzone RAT), LodaRAT, Meterpreter y Hedorcon cadenas de infección que utilizan archivos de acceso directo maliciosos (LNK) y documentos señuelo envueltos en archivos ZIP o RAR que se propagan a través de spear-phishing.
Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA recuperado de un servidor remoto, que luego se usa para mostrar un documento PDF de señuelo, mientras se lanza sigilosamente un cuentagotas para entregar un ladrón personalizado que usa Telegram como un canal de exfiltración.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
El uso de LodaRAT es notable ya que indica que el malware está siendo empleado por múltiples operadores a pesar de su atribución a otro grupo llamado Kasablanka, que también se ha observado. repartiendo Ave María en campañas recientes dirigidas a Rusia.
Otras herramientas auxiliares implementadas por YoroTrooper consisten en shells inversos y un registrador de teclas personalizado basado en C que es capaz de registrar las pulsaciones de teclas y guardarlas en un archivo en el disco.
«Vale la pena señalar que, si bien esta campaña comenzó con la distribución de malware básico como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python», dijeron los investigadores.
«Esto destaca un aumento en los esfuerzos que está realizando el actor de amenazas, probablemente derivado de infracciones exitosas durante el curso de la campaña».