{"id":1288937,"date":"2024-07-24T01:35:11","date_gmt":"2024-07-24T01:35:11","guid":{"rendered":"https:\/\/teknomers.com\/es\/instituciones-ucranianas-atacadas-con-malware-hatvibe-y-cherryspy\/"},"modified":"2024-07-24T01:35:15","modified_gmt":"2024-07-24T01:35:15","slug":"instituciones-ucranianas-atacadas-con-malware-hatvibe-y-cherryspy","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/instituciones-ucranianas-atacadas-con-malware-hatvibe-y-cherryspy\/","title":{"rendered":"Instituciones ucranianas atacadas con malware HATVIBE y CHERRYSPY"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 de julio de 2024<\/span>\ue804<\/i>Sala de prensa<\/span><\/span>Espionaje cibern\u00e9tico \/ Malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) ha alertado sobre una campa\u00f1a de phishing dirigida a una instituci\u00f3n de investigaci\u00f3n cient\u00edfica del pa\u00eds con malware conocido como HATVIBE y CHERRYSPY.<\/p>\n

La agencia atribuido<\/a> el ataque a un actor de amenazas que rastrea bajo el nombre UAC-0063, que anteriormente se observ\u00f3 apuntando a varias entidades gubernamentales para recopilar informaci\u00f3n confidencial utilizando keyloggers y puertas traseras.<\/p>\n

El ataque se caracteriza por el uso de una cuenta de correo electr\u00f3nico comprometida perteneciente a un empleado de la organizaci\u00f3n para enviar mensajes de phishing a “docenas” de destinatarios que contienen un archivo adjunto de Microsoft Word (DOCX) con macros.<\/p>\n

Al abrir el documento y habilitar las macros se ejecuta una aplicaci\u00f3n HTML codificada (HTA) llamada HATVIBE, que configura la persistencia en el host mediante una tarea programada y allana el camino para una puerta trasera de Python con nombre en c\u00f3digo CHERRYSPY, que es capaz de ejecutar comandos emitidos por un servidor remoto.<\/p>\n

\"La<\/a><\/center><\/section>\n

CERT-UA afirm\u00f3 haber detectado “numerosos casos” de infecciones de HATVIBE que explotan una falla de seguridad conocida en el servidor de archivos HTTP (CVE-2024-23692, puntuaci\u00f3n CVSS: 9.8) para el acceso inicial.<\/p>\n

Se ha asociado al UAC-0063 con un grupo de estado-naci\u00f3n vinculado a Rusia denominado APT28 con un nivel de confianza moderado. APT28, tambi\u00e9n conocido como BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422, est\u00e1 afiliado a la unidad de inteligencia militar estrat\u00e9gica de Rusia, el GRU.<\/p>\n

\"Malware<\/a><\/div>\n

El desarrollo se produce como CERT-UA detallado<\/a> Otra campa\u00f1a de phishing dirigida a empresas de defensa ucranianas con archivos PDF con trampas que incorporan un enlace que, al hacer clic, descarga un ejecutable (tambi\u00e9n conocido como GLUEEGG), que es responsable de descifrar y ejecutar un cargador basado en Lua llamado DROPCLUE.<\/p>\n

DROPCLUE est\u00e1 dise\u00f1ado para abrir un documento enga\u00f1oso para la v\u00edctima, mientras descarga de forma encubierta un programa leg\u00edtimo de escritorio remoto llamado Atera Agent mediante la utilidad curl. El ataque se ha vinculado a un cl\u00faster identificado como UAC-0180.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n