Un grupo hacktivista conocido como Yegua líder Se ha vinculado a ataques cibernéticos que tienen como objetivo exclusivamente a organizaciones ubicadas en Rusia y Bielorrusia.
«Head Mare utiliza métodos más actualizados para obtener acceso inicial», afirma Kaspersky dicho en un análisis del lunes sobre las tácticas y herramientas del grupo.
«Por ejemplo, los atacantes aprovecharon la vulnerabilidad CVE-2023-38831 relativamente reciente en WinRAR, que permite al atacante ejecutar código arbitrario en el sistema a través de un archivo especialmente preparado. Este enfoque permite al grupo distribuir y disfrazar la carga maliciosa de manera más efectiva».
Head Mare, activo desde 2023, es uno de los grupos hacktivistas que atacan a organizaciones rusas en el contexto del conflicto ruso-ucraniano que comenzó un año antes.
También mantiene una presencia en Xdonde ha filtrado información sensible y documentación interna de las víctimas. Entre los objetivos de los ataques del grupo se encuentran los sectores de los gobiernos, el transporte, la energía, la fabricación y el medio ambiente.
A diferencia de otras personalidades hacktivistas que probablemente operan con el objetivo de infligir «máximo daño» a las empresas de los dos países, Head Mare también encripta los dispositivos de las víctimas utilizando LockBit para Windows y Babuk para Linux (ESXi), y exige un rescate para desencriptar los datos.
También forman parte de su conjunto de herramientas PhantomDL y PhantomCore, el primero de los cuales es un Puerta trasera basada en Go que es capaz de entregar cargas útiles adicionales y cargar archivos de interés a un servidor de comando y control (C2).
PhantomCore (también conocido como PhantomRAT), un predecesor de PhantomDL, es un troyano de acceso remoto con características similares, que permite descargar archivos del servidor C2, cargar archivos desde un host comprometido al servidor C2, así como ejecutar comandos en el intérprete de línea de comandos cmd.exe.
«Los atacantes crean tareas programadas y valores de registro denominados MicrosoftUpdateCore y MicrosoftUpdateCoree para disfrazar su actividad como tareas relacionadas con el software de Microsoft», dijo Kaspersky.
«También descubrimos que algunas muestras de LockBit utilizadas por el grupo tenían los siguientes nombres: OneDrive.exe [and] VLC.exe. Estas muestras se encontraban en el directorio C:ProgramData y se hacían pasar por aplicaciones legítimas de OneDrive y VLC.
Se ha descubierto que ambos artefactos se distribuyen a través de campañas de phishing en forma de documentos comerciales con extensiones dobles (por ejemplo, número 201-5_10вэ_001-24 al pie de ekran-sho-2.pdf.exe o este al pie de página.pdf.exe).
Otro componente crucial de su arsenal de ataque es Sliver, un marco C2 de código abierto y una colección de varias herramientas disponibles públicamente como rsockstun, ngrok y Mimikatz que facilitan el descubrimiento, el movimiento lateral y la recolección de credenciales.
Las intrusiones culminan con la implementación de LockBit o Babuk, según el entorno objetivo, seguido de la publicación de una nota de rescate que exige un pago a cambio de un descifrador para desbloquear los archivos.
«Las tácticas, métodos, procedimientos y herramientas utilizadas por el grupo Head Mare son generalmente similares a las de otros grupos asociados con clústeres que atacan a organizaciones en Rusia y Bielorrusia en el contexto del conflicto ruso-ucraniano», dijo el proveedor de ciberseguridad ruso.
«Sin embargo, el grupo se distingue por utilizar malware personalizado como PhantomDL y PhantomCore, además de explotar una vulnerabilidad relativamente nueva, CVE-2023-38831, para infiltrarse en la infraestructura de sus víctimas en campañas de phishing».