Las entidades gubernamentales indias y el sector de defensa han sido blanco de una campa\u00f1a de phishing dise\u00f1ada para eliminar malware basado en Rust para la recopilaci\u00f3n de inteligencia.<\/p>\n
La actividad, detectada por primera vez en octubre de 2023, lleva el nombre en c\u00f3digo Operaci\u00f3n RusticWeb<\/strong> por la empresa de seguridad empresarial SEQRITE.<\/p>\n “Se han utilizado nuevas cargas \u00fatiles basadas en Rust y comandos cifrados de PowerShell para filtrar documentos confidenciales a un motor de servicio basado en web, en lugar de un servidor dedicado de comando y control (C2)”, dijo el investigador de seguridad Sathwik Ram Prakki. dicho<\/a>.<\/p>\n Se han descubierto superposiciones t\u00e1cticas entre el grupo y aquellos ampliamente rastreados bajo los apodos Transparent Tribe y SideCopy, los cuales se considera que est\u00e1n vinculados a Pakist\u00e1n.<\/p>\n SideCopy tambi\u00e9n es un elemento subordinado sospechoso dentro de Transparent Tribe. El mes pasado, SEQRITE detall\u00f3 m\u00faltiples campa\u00f1as emprendidas por el actor de amenazas dirigidas a organismos gubernamentales indios para entregar numerosos troyanos como AllaKore RAT, Ares RAT y DRat.<\/p>\n Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad<\/p>\n <\/a> <\/p>\n Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes. <\/p>\n \u00danete ahora<\/a> <\/section>\n Otras cadenas de ataques recientes documentadas por ThreatMon han empleado se\u00f1uelo archivos de Microsoft PowerPoint<\/a> as\u00ed como archivos RAR especialmente dise\u00f1ados<\/a> susceptible a CVE-2023-38831 para la entrega de malware, lo que permite un acceso y control remotos desenfrenados.<\/p>\n “La cadena de infecci\u00f3n de SideCopy APT Group implica m\u00faltiples pasos, cada uno cuidadosamente orquestado para garantizar un compromiso exitoso”, ThreatMon anotado<\/a> a principios de este a\u00f1o.<\/p>\n El \u00faltimo conjunto de ataques comienza con un correo electr\u00f3nico de phishing, aprovechando t\u00e9cnicas de ingenier\u00eda social para enga\u00f1ar a las v\u00edctimas para que interact\u00faen con archivos PDF maliciosos que arrojan cargas \u00fatiles basadas en Rust para enumerar el sistema de archivos en segundo plano mientras se muestra el archivo se\u00f1uelo a la v\u00edctima.<\/p>\n Adem\u00e1s de acumular archivos de inter\u00e9s, el malware est\u00e1 equipado para recopilar informaci\u00f3n del sistema y transmitirla al servidor C2, pero carece de las caracter\u00edsticas de otro malware ladr\u00f3n avanzado disponible en el mundo del cibercrimen.<\/p>\n Una segunda cadena de infecci\u00f3n identificada por SEQRITE en diciembre emplea un proceso similar de varias etapas, pero sustituye el malware Rust por un script de PowerShell que se encarga de los pasos de enumeraci\u00f3n y exfiltraci\u00f3n.<\/p>\n Pero en un giro interesante, la carga \u00fatil de la etapa final se lanza a trav\u00e9s de un ejecutable de Rust que se llama “Cisco AnyConnect Web Helper”. La informaci\u00f3n recopilada finalmente se carga en oshi.[.]en el dominio, un motor p\u00fablico an\u00f3nimo para compartir archivos llamado OshiSubir<\/a>.<\/p>\n “La Operaci\u00f3n RusticWeb podr\u00eda estar vinculada a una amenaza APT ya que comparte similitudes con varios grupos vinculados a Pakist\u00e1n”, dijo Ram Prakki.<\/p>\n La divulgaci\u00f3n se produce casi dos meses despu\u00e9s de que Cyble descubriera una aplicaci\u00f3n de Android maliciosa utilizada por el equipo DoNot dirigida a personas en la regi\u00f3n de Cachemira de la India.<\/p>\n Se cree que el actor-estado-naci\u00f3n, tambi\u00e9n conocido con los nombres APT-C-35, Origami Elephant y SECTOR02, es de origen indio y tiene una historia<\/a> de utilizar malware de Android para infiltrarse en dispositivos pertenecientes a personas en Cachemira y Pakist\u00e1n.<\/p>\n La variante examinada por Cyble es una versi\u00f3n troyanizada de un proyecto GitHub de c\u00f3digo abierto llamado “QuranApp: lee y explora<\/a>” que viene equipado con una amplia gama de funciones de software esp\u00eda para grabar llamadas de audio y VoIP, realizar capturas de pantalla, recopilar datos de varias aplicaciones, descargar archivos APK adicionales y rastrear la ubicaci\u00f3n de la v\u00edctima.<\/p>\n “Los incansables esfuerzos del grupo DoNot para perfeccionar sus herramientas y t\u00e9cnicas subrayan la amenaza constante que representan, particularmente en su ataque a individuos en la sensible regi\u00f3n de Cachemira de la India”, dijo Cyble. dicho<\/a>.<\/p>\n <\/p>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/Operacion-RusticWeb-malware-basado-en-Rust-apunta-a-entidades-gubernamentales.jpg\" "\\"Malware")
<\/a><\/div>\n<\/a><\/center><\/div>\n