Los objetivos ubicados en Azerbaiyán han sido seleccionados como parte de una nueva campaña diseñada para implementar malware basado en Rust en sistemas comprometidos.
La empresa de ciberseguridad Deep Instinct está rastreando la operación bajo el nombre de Operación Bandera Oxidada. No se ha asociado con ningún actor o grupo de amenazas conocido.
«La operación tiene al menos dos vectores de acceso inicial diferentes», afirman los investigadores de seguridad Simon Kenin, Ron Ben Yizhak y Mark Vaitzman. dicho en un análisis publicado la semana pasada. «Uno de los señuelos utilizados en la operación es un documento modificado que fue utilizado por el grupo Storm-0978. Esto podría ser una ‘bandera falsa’ deliberada».
La cadena de ataque aprovecha un archivo LNK llamado 1.KARABAKH.jpg.lnk como plataforma de lanzamiento para recuperar una carga útil de segunda etapa, un instalador MSI, alojado en Dropbox.
El archivo de instalación, por su parte, incluye un implante escrito en Rust, un archivo XML para una tarea programada para ejecutar el implante y un archivo de imagen señuelo que presenta marcas de agua del símbolo del Ministerio de Defensa de Azerbaiyán.
Un vector de infección alternativo es un documento de Microsoft Office llamado «Overview_of_UWCs_UkraineInNATO_campaign.docx», que explota CVE-2017-11882, una vulnerabilidad de corrupción de memoria de seis años de antigüedad en el Editor de ecuaciones de Microsoft Office, para invocar una URL de Dropbox que aloja un archivo MSI diferente. una variante de la misma puerta trasera Rust.
El uso de Overview_of_UWCs_UkraineInNATO_campaign.docx es digno de mención, ya que Storm-0978 (también conocido como RomCom, Tropical Scorpius, UNC2596 y Void Rabisu) aprovechó un señuelo con el mismo nombre de archivo en ataques cibernéticos recientes dirigidos a Ucrania que explotan una falla de ejecución remota de código de Office ( CVE-2023-36884).
Seguridad Level-Up SaaS: una guía completa para ITDR y SSPM
Manténgase a la vanguardia con conocimientos prácticos sobre cómo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.
«Esta acción parece un intento deliberado de bandera falsa para atribuir este ataque a Storm-0978», dijeron los investigadores.
La puerta trasera de Rust, una de las cuales se hace pasar por «WinDefenderHealth.exe», viene equipada con capacidades para recopilar información del host comprometido y enviarla a un servidor controlado por el atacante.
Los objetivos finales exactos de la campaña aún no están claros en este momento. Al mismo tiempo, no se ha descartado la posibilidad de que pueda tratarse de un ejercicio del equipo rojo.
«Rust se está volviendo más popular entre los autores de malware», dijeron los investigadores. «Los productos de seguridad aún no detectan con precisión el malware Rust y el proceso de ingeniería inversa es más complejo».