Las entidades en Armenia han sido objeto de un ataque cibernético utilizando una versión actualizada de una puerta trasera llamada OxtaRAT que permite el acceso remoto y la vigilancia del escritorio.
«Las capacidades de la herramienta incluyen la búsqueda y extracción de archivos de la máquina infectada, la grabación de video desde la cámara web y el escritorio, el control remoto de la máquina comprometida con TightVNC, la instalación de un shell web, la exploración de puertos y más», Check Point Research dicho en un informe
Se dice que la última campaña comenzó en noviembre de 2022 y marca la primera vez que los actores de amenazas detrás de la actividad han ampliado su enfoque más allá de Azerbaiyán.
“Los actores de amenazas detrás de estos ataques han estado apuntando a organizaciones de derechos humanos, disidentes y medios independientes en Azerbaiyán durante varios años”, señaló la firma de seguridad cibernética, llamando a la campaña Operación Silent Watch.
Las intrusiones de fines de 2022 son significativas, sobre todo por los cambios en la cadena de infección, los pasos tomados para mejorar la seguridad operativa y equipar la puerta trasera con más municiones.
El punto de partida de la secuencia de ataque es un archivo autoextraíble que imita un archivo PDF y tiene un icono de PDF. Al iniciar el supuesto «documento», se abre un archivo señuelo y, al mismo tiempo, se ejecuta sigilosamente un código malicioso oculto dentro de una imagen.
Un archivo políglota que combina un script AutoIT compilado y una imagen, OxtaRAT presenta comandos que permiten al actor de amenazas ejecutar comandos y archivos adicionales, recopilar información confidencial, realizar reconocimiento y vigilancia a través de una cámara web e incluso pasar a otros.
OxtaRAT ha sido poner en uso por el adversario desde junio de 2021, aunque con una funcionalidad significativamente reducida, lo que indica un intento de actualizar constantemente su conjunto de herramientas y convertirlo en un malware de navaja suiza.
El ataque de noviembre de 2022 también se destaca por varias razones. La primera es que los archivos .SCR que activan la cadena de eliminación ya contienen el implante OxtaRAT en lugar de actuar como un descargador para obtener el malware.
«Esto evita que los actores tengan que realizar solicitudes adicionales de archivos binarios al servidor de C&C y atraer una atención innecesaria, además de ocultar el malware principal para que no se descubra fácilmente en la máquina infectada, ya que se ve como una imagen normal y no pasa por el tipo específico. protecciones», explicó Check Point.
El segundo aspecto llamativo es la geovalla de los dominios de comando y control (C2) que alojan las herramientas auxiliares para las direcciones IP armenias.
También es de destacar la capacidad de OxtaRAT para ejecutar comandos para escanear puertos y probar la velocidad de una conexión a Internet, la última de las cuales probablemente se use como una forma de ocultar la exfiltración de datos «extensa».
«OxtaRAT, que anteriormente tenía principalmente capacidades de reconocimiento y vigilancia locales, ahora se puede utilizar como pivote para el reconocimiento activo de otros dispositivos», dijo Check Point.
«Esto puede indicar que los actores de amenazas se están preparando para extender su principal vector de ataque, que actualmente es la ingeniería social, a ataques basados en infraestructura. También podría ser una señal de que los actores están pasando de apuntar a individuos a apuntar a entornos más complejos o corporativos. .»
«Los actores de amenazas subyacentes han estado manteniendo el desarrollo de malware basado en Auto-IT durante los últimos siete años y lo están utilizando en campañas de vigilancia cuyos objetivos son consistentes con los intereses de Azerbaiyán».