El sector de la defensa en Ucrania y Europa del Este ha sido objeto de una nueva puerta trasera basada en .NET llamada EntregaCheque (también conocido como CAPIBAR o GAMEDAY) que es capaz de entregar cargas útiles de próxima etapa.
El equipo de inteligencia de amenazas de Microsoft, en colaboración con el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), atribuyó los ataques a un actor de estado-nación ruso conocido como Turla, que también se rastrea con los nombres Iron Hunter, Secret Blizzard (anteriormente Krypton), Uroburos, Venomous Bear y Waterbug. Está vinculado al Servicio de Seguridad Federal de Rusia (FSB).
«DeliveryCheck se distribuye por correo electrónico como documentos con macros maliciosas», la compañía dicho en una serie de tuits. «Persiste a través de una tarea programada que lo descarga y lo inicia en la memoria. También se comunica con un servidor C2 para recuperar tareas, que pueden incluir el lanzamiento de cargas útiles arbitrarias incrustadas en hojas de estilo XSLT».
El acceso inicial exitoso también está acompañado en algunos casos por la distribución de un conocido implante de Turla llamado Kazuar, que está equipado para robar archivos de configuración de aplicaciones, registros de eventos y una amplia gama de datos de los navegadores web.
El objetivo final de los ataques es filtrar los mensajes de la aplicación de mensajería Signal para Windows, lo que permite al adversario acceder a conversaciones, documentos e imágenes confidenciales en los sistemas objetivo.
Un aspecto digno de mención de DeliveryCheck es su capacidad para violar los servidores de Microsoft Exchange para instalar un componente del lado del servidor mediante la configuración de estado deseado de PowerShell (DSC), una plataforma de gestión de PowerShell que ayuda a los administradores a automatizar la configuración de los sistemas Windows.
«DSC genera un formato de objeto administrado (MOF) que contiene un script de PowerShell que carga la carga útil de .NET incrustada en la memoria, convirtiendo efectivamente un servidor legítimo en un centro C2 de malware», explicó Microsoft.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
La divulgación se produce cuando la Policía Cibernética de Ucrania desmantelado una granja de bots masiva con más de 100 personas que supuestamente difunden propaganda hostil que justifica la invasión rusa, filtran información personal perteneciente a ciudadanos ucranianos y participan en varios esquemas de fraude.
Como parte del operativo, se realizaron allanamientos en 21 localidades, con lo que se decomisaron equipos de cómputo, teléfonos móviles, más de 250 pasarelas GSM y cerca de 150.000 tarjetas SIM de diferentes operadores móviles.