El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre ataques cibernéticos dirigidos a organismos estatales en el país como parte de una campaña de espionaje.
El conjunto de intrusión, atribuido a un actor de amenazas rastreado por la autoridad como UAC-0063 desde 2021, aprovecha los señuelos de phishing para implementar una variedad de herramientas maliciosas en los sistemas infectados. Actualmente se desconocen los orígenes del equipo de piratería.
En la cadena de ataques descrita por la agencia, los correos electrónicos estaban dirigidos a un ministerio no especificado y pretendían ser de la Embajada de Tayikistán en Ucrania. Se sospecha que los mensajes se enviaron desde un buzón previamente comprometido.
Los correos electrónicos vienen adjuntos con un documento de Microsoft Word que, al habilitar las macros, inicia un VBScript codificado llamado HATVIBE, que luego se usa para colocar malware adicional.
Esto incluye un registrador de teclas (LOGPIE), una puerta trasera basada en Python capaz de ejecutar comandos enviados desde un servidor remoto (CHERRYSPY) y una herramienta enfocada en filtrar archivos con extensiones específicas (STILLARCH o DownEx).
Vale la pena señalar que Bitdefender documentó recientemente que DownEx fue utilizado por un actor desconocido en ataques altamente dirigidos contra entidades gubernamentales en Kazajstán y Afganistán.
«Un estudio adicional de la infraestructura y los archivos relacionados permitieron concluir que entre los objetos de interés del grupo se encuentran organizaciones de Mongolia, Kazajstán, Kirguistán, Israel, [and] India», dijo CERT-UA.
Los hallazgos muestran que algunos actores de amenazas todavía están empleando malware basado en macros a pesar de que Microsoft deshabilitó la función de forma predeterminada en los archivos de Office descargados de la web.
Dicho esto, las restricciones de Microsoft han llevado a varios grupos de ataque a experimentar y adaptar sus cadenas de ataque y mecanismos de entrega de carga útil para incluir tipos de archivos poco comunes (CHM, ISO, LNK, VHD, XLL y WSF) y técnicas como el contrabando de HTML.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
La firma de seguridad empresarial Proofpoint dijo que observó múltiples agentes de acceso inicial (IAB), actores que se infiltran en los principales objetivos y luego venden ese acceso a otros ciberdelincuentes para obtener ganancias, utilizando archivos PDF y OneNote a partir de diciembre de 2022.
«La experimentación y el cambio regular a nuevas técnicas de entrega de carga útil por parte de los actores de amenazas rastreados, especialmente los IAB, es muy diferente de las cadenas de ataque observadas antes de 2022 y presagia una nueva actividad normal de amenazas», dijo la compañía. dicho.
«Los actores ciberdelincuentes más experimentados ya no confían en una o algunas técnicas, sino que desarrollan e iteran con frecuencia nuevos TTP. La rápida tasa de cambio para muchos actores de amenazas sugiere que tienen el tiempo, la capacidad y la comprensión del panorama de amenazas. para desarrollar y ejecutar rápidamente nuevas técnicas».