El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre una nueva campaña de phishing orquestada por el grupo APT28 vinculado a Rusia para implementar malware previamente no documentado como OCEANMAP, MASEPIE y STEELHOOK para recopilar información confidencial.
La actividad, que fue detectado por la agencia entre el 15 y el 25 de diciembre de 2023, se dirige a entidades gubernamentales con mensajes de correo electrónico instando a los destinatarios a hacer clic en un enlace para ver un documento.
De USUARIO a ADMIN: aprenda cómo los piratas informáticos obtienen el control total
Descubra las tácticas secretas que utilizan los piratas informáticos para convertirse en administradores, cómo detectarlos y bloquearlos antes de que sea demasiado tarde. Regístrese hoy para nuestro seminario web.
Sin embargo, por el contrario, los enlaces redirigen a recursos web maliciosos que abusan de JavaScript y del controlador de protocolo URI «search-ms:» para soltar un archivo de acceso directo de Windows (LNK) que lanza comandos de PowerShell para activar una cadena de infección para un nuevo malware conocido. como MASEPIE.
MASEPIE es una herramienta basada en Python para descargar/cargar archivos y ejecutar comandos, con comunicaciones con el servidor de comando y control (C2) a través de un canal cifrado utilizando el protocolo TCP.
Los ataques allanaron aún más el camino para la implementación de malware adicional, incluido un script de PowerShell llamado STEELHOOK que es capaz de recopilar datos del navegador web y exportarlos a un servidor controlado por un actor en formato codificado en Base64.
También se entrega una puerta trasera basada en C# denominada OCEANMAP que está diseñada para ejecutar comandos usando cmd.exe.
«El protocolo IMAP se utiliza como canal de control», dijo CERT-UA, y la persistencia se logra creando un archivo URL llamado «VMSearch.url» en la carpeta de inicio de Windows.
«Los comandos, en formato codificado en Base64, están contenidos en los ‘Borradores’ de los directorios de correo electrónico correspondientes; cada uno de los borradores contiene el nombre de la computadora, el nombre del usuario y la versión del sistema operativo. Los resultados de los comandos se almacenan en el directorio de la bandeja de entrada.»
La agencia señaló además que las actividades de reconocimiento y movimiento lateral se llevan a cabo dentro de una hora después del compromiso inicial aprovechando herramientas como Impacto y SMBExec.
La divulgación se produce semanas después de que IBM X-Force revelara el uso de señuelos relacionados con la actual guerra entre Israel y Hamas por parte de APT28 para facilitar la entrega de una puerta trasera personalizada llamada HeadLace.
En las últimas semanas, al prolífico grupo de hackers respaldado por el Kremlin también se le ha atribuido la explotación de una falla de seguridad crítica ahora parcheada en su servicio de correo electrónico Outlook (CVE-2023-23397, puntuación CVSS: 9,8) para obtener acceso no autorizado a los datos de las víctimas. cuentas dentro de los servidores Exchange.