El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) dijo el martes que frustró un ciberataque contra una instalación de infraestructura energética crítica no identificada en el país.
La intrusión, según la agencia, comenzó con un correo electrónico de phishing que contenía un enlace a un archivo ZIP malicioso que activa la cadena de infección.
«Al visitar el enlace, se descargará un archivo ZIP que contiene tres imágenes JPG (señuelos) y un archivo BAT ‘weblinks.cmd’ en la computadora de la víctima», CERT-UA dichoatribuyéndolo al actor de amenazas ruso conocido como APT28 (también conocido como BlueDelta, Fancy Bear, Forest Blizzard o FROZENLAKE).
«Cuando se ejecuta un archivo CMD, se abrirán varias páginas web señuelo, se crearán archivos .bat y .vbs y se iniciará un archivo VBS, que a su vez ejecutará el archivo BAT».
La siguiente fase del ataque implica ejecutar el comando «whoami» en el host comprometido y extraer la información, además de descargar el servicio oculto TOR para enrutar el tráfico malicioso.
La persistencia se logra mediante una tarea programada y la ejecución remota de comandos se implementa usando cURL a través de un servicio legítimo llamado webhook.site, que recientemente se reveló que lo utiliza un actor de amenazas conocido como Dark Pink.
CERT-UA dijo que el ataque finalmente no tuvo éxito debido al hecho de que el acceso a Mocky y Windows Script Host (wscript.exe) estaba restringido. Vale la pena señalar que APT28 se ha relacionado con el uso de API Mocky en el pasado.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
La revelación se produce en medio continuos ataques de phishing apuntando a Ucrania, algunos de los cuales han sido observado aprovechando un motor de ofuscación de malware listo para usar llamado ScruptCrypt para distribuir AsyncRAT.
Se dice que otro ciberataque montado por GhostWriter (también conocido como UAC-0057 o UNC1151) utilizó como arma una falla de día cero recientemente revelada en WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para implementar PicassoLoader y Cobalt Strike, la agencia dicho.