Las entidades gubernamentales, las organizaciones militares y los usuarios civiles en Ucrania y Polonia han sido objeto de una serie de campañas diseñadas para robar datos confidenciales y obtener acceso remoto persistente a los sistemas infectados.
El conjunto de intrusiones, que se extiende desde abril de 2022 hasta julio de 2023, aprovecha los señuelos de phishing y los documentos señuelo para implementar un malware de descarga llamado PicassoLoader, que actúa como un conducto para lanzar Cobalt Strike Beacon y njRAT.
«Los ataques utilizaron una cadena de infección de varias etapas iniciada con documentos maliciosos de Microsoft Office, más comúnmente utilizando formatos de archivo de Microsoft Excel y PowerPoint», dijo el investigador de Cisco Talos, Vanja Svajcer. dicho en un nuevo informe. «Esto fue seguido por un descargador ejecutable y una carga útil oculta en un archivo de imagen, lo que probablemente dificulte su detección».
Alguno del actividades se han atribuido a un actor de amenazas llamado GhostWriter (también conocido como UAC-0057 o UNC1151), cuyas prioridades se dice que se alinean con el gobierno de Bielorrusia.
Vale la pena señalar que un subconjunto de estos ataques ya ha sido documentado durante el año pasado por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) y Fortinet FortiGuard Labs, uno de los cuales empleó documentos de PowerPoint cargados de macros para entregar el malware Agent Tesla en julio de 2022. .
Las cadenas de infección tienen como objetivo convencer a las víctimas para que habiliten las macros, con la macro VBA diseñada para soltar un descargador de DLL conocido como PicassoLoader que luego llega a un sitio controlado por el atacante para obtener la carga útil de la siguiente etapa, un archivo de imagen legítimo que incrusta la última programa malicioso
La divulgación se produce cuando CERT-UA detalló un número de suplantación de identidad operaciones distribuir el malware SmokeLoader, así como un ataque de smishing diseñado para obtener el control no autorizado de las cuentas de Telegram de los objetivos.
El mes pasado, CERT-UA reveló una campaña de ciberespionaje dirigido a organizaciones estatales y representantes de los medios en Ucrania que utiliza correo electrónico y mensajería instantánea para distribuir archivos que, cuando se inician, dan como resultado la ejecución de un script de PowerShell llamado LONEPAGE para obtener el ladrón de navegadores de próxima etapa (THUMBCHOP) y el registrador de teclas (CLOGFLAG ) cargas útiles.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
GhostWriter es uno de los muchos actores de amenazas que han puesto sus ojos en Ucrania. Esto también incluye al grupo de estado-nación ruso APT28, que ha sido observado utilizando archivos adjuntos HTML en correos electrónicos de phishing que solicitan a los destinatarios que cambien su UKR.NET y Yahoo! contraseñas debido a actividad sospechosa detectada en sus cuentas para redirigirlas a páginas de destino falsas que finalmente roban sus credenciales.
El desarrollo también sigue a la adopción de un «libro de jugadas estándar de cinco fases» por parte de piratas informáticos asociados con la inteligencia militar rusa (GRU) en sus operaciones disruptivas contra Ucrania en un «esfuerzo deliberado para aumentar la velocidad, la escala y la intensidad» de sus ataques. .
Esto comprende aprovechar la infraestructura de vida en el borde para obtener acceso inicial, utilizando técnicas de vida fuera de la tierra para realizar reconocimiento, movimiento lateral y robo de información para limitar su huella de malware y evadir la detección, creando acceso persistente y privilegiado. a través de objetos de política de grupo (GPO), implementando limpiaparabrisas y telegrafiando sus actos a través de personas hacktivistas en Telegram.
«Los beneficios que ofrece el libro de jugadas son notablemente adecuados para un entorno operativo de ritmo rápido y muy disputado, lo que indica que los objetivos de Rusia en tiempos de guerra probablemente han guiado los cursos de acción tácticos elegidos por GRU», Mandiant, propiedad de Google. dicho.