El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) advirti\u00f3 sobre una nueva campa\u00f1a de phishing orquestada por el grupo APT28 vinculado a Rusia para implementar malware previamente no documentado como OCEANMAP, MASEPIE y STEELHOOK para recopilar informaci\u00f3n confidencial.<\/p>\n
La actividad, que fue detectado<\/a> por la agencia entre el 15 y el 25 de diciembre de 2023, se dirige a entidades gubernamentales con mensajes de correo electr\u00f3nico instando a los destinatarios a hacer clic en un enlace para ver un documento.<\/p>\n De USUARIO a ADMIN: aprenda c\u00f3mo los piratas inform\u00e1ticos obtienen el control total<\/p>\n <\/a> <\/p>\n Descubra las t\u00e1cticas secretas que utilizan los piratas inform\u00e1ticos para convertirse en administradores, c\u00f3mo detectarlos y bloquearlos antes de que sea demasiado tarde. Reg\u00edstrese hoy para nuestro seminario web.<\/p>\n \u00danete ahora<\/a> <\/section>\n Sin embargo, por el contrario, los enlaces redirigen a recursos web maliciosos que abusan de JavaScript y del controlador de protocolo URI “search-ms:” para soltar un archivo de acceso directo de Windows (LNK) que lanza comandos de PowerShell para activar una cadena de infecci\u00f3n para un nuevo malware conocido. como MASEPIE.<\/p>\n MASEPIE es una herramienta basada en Python para descargar\/cargar archivos y ejecutar comandos, con comunicaciones con el servidor de comando y control (C2) a trav\u00e9s de un canal cifrado utilizando el protocolo TCP.<\/p>\n Los ataques allanaron a\u00fan m\u00e1s el camino para la implementaci\u00f3n de malware adicional, incluido un script de PowerShell llamado STEELHOOK que es capaz de recopilar datos del navegador web y exportarlos a un servidor controlado por un actor en formato codificado en Base64.<\/p>\n Tambi\u00e9n se entrega una puerta trasera basada en C# denominada OCEANMAP que est\u00e1 dise\u00f1ada para ejecutar comandos usando cmd.exe.<\/p>\n “El protocolo IMAP<\/a> se utiliza como canal de control”, dijo CERT-UA, y la persistencia se logra creando un archivo URL llamado “VMSearch.url” en la carpeta de inicio de Windows.<\/p>\n “Los comandos, en formato codificado en Base64, est\u00e1n contenidos en los ‘Borradores’ de los directorios de correo electr\u00f3nico correspondientes; cada uno de los borradores contiene el nombre de la computadora, el nombre del usuario y la versi\u00f3n del sistema operativo. Los resultados de los comandos se almacenan en el directorio de la bandeja de entrada.”<\/p>\n La agencia se\u00f1al\u00f3 adem\u00e1s que las actividades de reconocimiento y movimiento lateral se llevan a cabo dentro de una hora despu\u00e9s del compromiso inicial aprovechando herramientas como Impacto y SMBExec<\/a>.<\/p>\n La divulgaci\u00f3n se produce semanas despu\u00e9s de que IBM X-Force revelara el uso de se\u00f1uelos relacionados con la actual guerra entre Israel y Hamas por parte de APT28 para facilitar la entrega de una puerta trasera personalizada llamada HeadLace.<\/p>\n En las \u00faltimas semanas, al prol\u00edfico grupo de hackers respaldado por el Kremlin tambi\u00e9n se le ha atribuido la explotaci\u00f3n de una falla de seguridad cr\u00edtica ahora parcheada en su servicio de correo electr\u00f3nico Outlook (CVE-2023-23397, puntuaci\u00f3n CVSS: 9,8) para obtener acceso no autorizado a los datos de las v\u00edctimas. cuentas dentro de los servidores Exchange.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/CERT-UA-descubre-una-nueva-ola-de-malware-que-distribuye-OCEANMAP.jpg\")
<\/a><\/center><\/div>\n