El actor de amenazas vinculado a Rusia conocido como CONDUCTOR DE FR\u00cdO<\/strong> Se ha observado que ha evolucionado su oficio para ir m\u00e1s all\u00e1 de la recolecci\u00f3n de credenciales y ofrecer su primer malware personalizado escrito en el lenguaje de programaci\u00f3n Rust.<\/p>\n El Grupo de An\u00e1lisis de Amenazas (TAG) de Google, que detalles compartidos<\/a> de la \u00faltima actividad, dijo que las cadenas de ataque aprovechan los archivos PDF como documentos se\u00f1uelo para desencadenar la secuencia de infecci\u00f3n. Los se\u00f1uelos se env\u00edan desde cuentas de suplantaci\u00f3n.<\/p>\n Se sabe que COLDRIVER, tambi\u00e9n conocido con los nombres Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto), Gossamer Bear, Star Blizzard (anteriormente SEABORGIUM), TA446 y UNC4057, est\u00e1 activo desde 2019, apuntando a un amplia gama de sectores.<\/p>\n Esto incluye la academia, la defensa, organizaciones gubernamentales, ONG, grupos de expertos, grupos pol\u00edticos y, recientemente, objetivos industriales de defensa e instalaciones energ\u00e9ticas.<\/p>\n “Los objetivos en el Reino Unido y Estados Unidos parecen haber sido los m\u00e1s afectados por la actividad de Star Blizzard, sin embargo, tambi\u00e9n se ha observado actividad contra objetivos en otros pa\u00edses de la OTAN y pa\u00edses vecinos de Rusia”, revel\u00f3 el gobierno de Estados Unidos el mes pasado.<\/p>\n Las campa\u00f1as de phishing lanzadas por el grupo est\u00e1n dise\u00f1adas para interactuar y generar confianza con las posibles v\u00edctimas con el objetivo final de compartir p\u00e1ginas de inicio de sesi\u00f3n falsas para recopilar sus credenciales y obtener acceso a las cuentas.<\/p>\n Microsoft, en un an\u00e1lisis de las t\u00e1cticas de COLDRIVER, destac\u00f3 su uso de scripts del lado del servidor para evitar el escaneo automatizado de la infraestructura controlada por el actor y determinar objetivos de inter\u00e9s, antes de redirigirlos a las p\u00e1ginas de inicio de phishing.<\/p>\n Los \u00faltimos hallazgos de Google TAG muestran que el actor de amenazas ha estado utilizando documentos PDF benignos como punto de partida ya en noviembre de 2022 para incitar a los objetivos a abrir los archivos.<\/p>\n “COLDRIVER presenta estos documentos como un nuevo art\u00edculo de opini\u00f3n u otro tipo de art\u00edculo que la cuenta de suplantaci\u00f3n busca publicar, solicitando comentarios del objetivo”, dijo el gigante tecnol\u00f3gico. “Cuando el usuario abre el PDF benigno, el texto aparece cifrado”.<\/p>\n En caso de que el destinatario responda al mensaje indicando que no puede leer el documento, el actor de la amenaza responde con un enlace a una supuesta herramienta de descifrado (“Proton-decrypter.exe”) alojada en un servicio de almacenamiento en la nube.<\/p>\n La elecci\u00f3n del nombre “Proton-decrypter.exe” es notable porque Microsoft hab\u00eda revelado previamente que el adversario utiliza predominantemente Proton Drive para enviar se\u00f1uelos PDF a trav\u00e9s de mensajes de phishing.<\/p>\n En realidad, el descifrador es una puerta trasera llamada SPICA que otorga a COLDRIVER acceso encubierto a la m\u00e1quina, al mismo tiempo que muestra un documento se\u00f1uelo para continuar con la artima\u00f1a.<\/p>\n Hallazgos anteriores de WithSecure (anteriormente F-Secure) han revelado el uso por parte del actor de amenazas de una puerta trasera liviana llamada Scout, una herramienta de malware de la plataforma de pirater\u00eda Galileo del sistema de control remoto HackingTeam (RCS), como parte de campa\u00f1as de phishing observadas a principios de 2016.<\/p>\n Scout est\u00e1 “destinado a ser utilizado como una herramienta de reconocimiento inicial para recopilar informaci\u00f3n b\u00e1sica del sistema y capturas de pantalla de una computadora comprometida, as\u00ed como permitir la instalaci\u00f3n de malware adicional”, dijo la empresa finlandesa de ciberseguridad. anotado<\/a> En el momento.<\/p>\n SPICA, que es el primer malware personalizado desarrollado y utilizado por COLDRIVER, utiliza JSON sobre WebSockets para comando y control (C2), facilitando la ejecuci\u00f3n de comandos de shell arbitrarios, el robo de cookies de navegadores web, la carga y descarga de archivos y la enumeraci\u00f3n. y exfiltrar archivos. La persistencia se logra mediante una tarea programada.<\/p>\n “Una vez ejecutado, SPICA decodifica un PDF incrustado, lo escribe en el disco y lo abre como se\u00f1uelo para el usuario”, dijo Google TAG. “En segundo plano, establece persistencia e inicia el bucle C2 principal, esperando que se ejecuten los comandos”.<\/p>\n Hay evidencia que sugiere que el uso del implante por parte del actor-estado-naci\u00f3n se remonta a noviembre de 2022, con el brazo de ciberseguridad m\u00faltiples variantes del se\u00f1uelo PDF “cifrado”, lo que indica que podr\u00eda haber diferentes versiones de SPICA para coincidir con el documento del se\u00f1uelo. enviado a los objetivos.<\/p>\n Como parte de sus esfuerzos para interrumpir la campa\u00f1a y evitar una mayor explotaci\u00f3n, Google TAG dijo que agreg\u00f3 todos los sitios web, dominios y archivos conocidos asociados con el equipo de pirater\u00eda a Listas de bloqueo de navegaci\u00f3n segura<\/a>.<\/p>\n Este acontecimiento se produce m\u00e1s de un mes despu\u00e9s de que los gobiernos del Reino Unido y Estados Unidos sancionaran a dos miembros rusos de COLDRIVER, Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets, por su participaci\u00f3n en la realizaci\u00f3n de operaciones de phishing.<\/p>\n Desde entonces, la empresa francesa de ciberseguridad Sekoia ha publicado v\u00ednculos entre Korinets y la infraestructura conocida utilizada por el grupo, que comprende docenas de dominios de phishing y m\u00faltiples servidores.<\/p>\n “Calisto contribuye a los esfuerzos de inteligencia rusos para apoyar los intereses estrat\u00e9gicos de Mosc\u00fa”, afirma la empresa. dicho<\/a>. “Parece que el registro de dominio fue uno de [Korinets’] “Habilidades principales, plausiblemente utilizadas por la inteligencia rusa, ya sea directamente o a trav\u00e9s de una relaci\u00f3n de contratista”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/01\/Los-piratas-informaticos-rusos-de-COLDRIVER-van-mas-alla-del.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n