Las empresas de Rusia y Moldavia han sido el objetivo de una campaña de phishing orquestada por un grupo de espionaje cibernético poco conocido conocido como XDSpy.
El recomendaciones Los ataques provienen de la firma de ciberseguridad FACCT, que dijo que las cadenas de infección conducen a la implementación de un malware llamado DSDownloader. La actividad se observó este mes, agregó.
XDSpy es un actor de amenaza de origen indeterminado que fue primero descubierto por el Equipo de Respuesta a Emergencias Informáticas de Bielorrusia, CERT.BY, en febrero de 2020. Un análisis posterior realizado por ESET atribuido El grupo a ataques de robo de información Dirigido a agencias gubernamentales de Europa del Este y los Balcanes desde 2011.
Se sabe que las cadenas de ataque montadas por el adversario aprovechan correos electrónicos de phishing para infiltrar sus objetivos con un módulo de malware principal conocido como XDDown que, a su vez, coloca complementos adicionales para recopilar información del sistema, enumerar la unidad C:, monitorear unidades externas, exfiltrar archivos locales y recopilar contraseñas.
Durante el último año, XDSpy ha estado observado Apuntando Organizaciones rusas con un cuentagotas basado en C# llamado UTask que es responsable de descargar un módulo central en forma de ejecutable que puede obtener más cargas útiles de un servidor de comando y control (C2).
El último conjunto de ataques implica el uso de correos electrónicos de phishing con señuelos relacionados con acuerdos para propagar un archivo RAR que contiene un ejecutable legítimo y un archivo DLL malicioso. El DLL se ejecuta luego mediante el primero utilizando técnicas de carga lateral de DLL.
En la siguiente fase, la biblioteca se encarga de obtener y ejecutar DSDownloader, que, a su vez, abre un archivo señuelo como distracción mientras descarga subrepticiamente el malware de la siguiente etapa desde un servidor remoto. FACCT afirmó que la carga útil ya no estaba disponible para su descarga en el momento del análisis.
El inicio de la guerra ruso-ucraniana en febrero de 2022 ha sido testigo de una importante escalada de ciberataques por parte de ambos bandos, con empresas rusas comprometida por DarkWatchman RAT así como por grupos de actividades rastreados como Hombre lobo básicoPerros del infierno, Núcleo fantasma, Lobo raro, Bits de Reavery Sticky Werewolf, entre otros en los últimos meses.
Es más, pro-ucraniano grupos hacktivistas Como Cyber.Anarchy.Squad también han puesto sus miras en entidades rusas, llevando a cabo operaciones de piratería y filtración y ataques disruptivos contra ellas. Infotel y Avanpost.
El desarrollo se produce cuando el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) prevenido de un aumento en los ataques de phishing llevados a cabo por un actor de amenazas bielorruso llamado UAC-0057 (también conocido como GhostWriter y UNC1151) que distribuye una familia de malware conocida como PicassoLoader con el objetivo de colocar un Cobalt Strike Beacon en los hosts infectados.
También sigue el descubrimiento de una nueva campaña del grupo Turla, vinculado a Rusia, que utiliza un archivo de acceso directo de Windows (LNK) malicioso como conducto para servir a una puerta trasera sin archivos que puede ejecutar scripts de PowerShell recibidos de un servidor legítimo pero comprometido y deshabilitar funciones de seguridad.
«También emplea parches de memoria, omite AMSI y desactiva las funciones de registro de eventos del sistema para perjudicar la defensa del sistema y mejorar su capacidad de evasión», dijeron los investigadores de G DATA. dicho«Aprovecha msbuild.exe de Microsoft para implementar la omisión de AWL (lista blanca de aplicaciones) para evitar la detección».