Un actor de amenazas previamente desconocido ha sido atribuido a una serie de ataques dirigidos contra Azerbaiy\u00e1n e Israel con el objetivo de robar datos confidenciales.<\/p>\n
La campa\u00f1a de ataques, detectada por NSFOCUS el 1 de julio de 2024, utiliz\u00f3 correos electr\u00f3nicos de phishing selectivo para identificar a diplom\u00e1ticos azerbaiyanos e israel\u00edes. La actividad se est\u00e1 rastreando bajo el nombre Actor240524<\/strong>.<\/p>\n “Actor240524 posee la capacidad de robar secretos y modificar datos de archivos, utilizando una variedad de contramedidas para evitar la sobreexposici\u00f3n de t\u00e1cticas y t\u00e9cnicas de ataque”, dijo la empresa de ciberseguridad. dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n Las cadenas de ataque comienzan con el uso de correos electr\u00f3nicos de phishing que contienen documentos de Microsoft Word que, al abrirse, instan a los destinatarios a “Habilitar contenido” y ejecutar una macro maliciosa responsable de ejecutar un payloader intermedio cuyo nombre en c\u00f3digo es ABCloader (“MicrosoftWordUpdater.log”).<\/p>\n En el siguiente paso, ABCloader act\u00faa como un conducto para descifrar y cargar un malware DLL llamado ABCsync (“synchronize.dll”), que luego establece contacto con un servidor remoto (“185.23.253[.]143”) para recibir y ejecutar comandos.<\/p>\n “Su funci\u00f3n principal es determinar el entorno de ejecuci\u00f3n, descifrar el programa y cargar la DLL subsiguiente (ABCsync)”, dijo NSFOCUS. “Luego realiza varias t\u00e9cnicas anti-sandbox y anti-an\u00e1lisis para la detecci\u00f3n del entorno”.<\/p>\n Algunas de las funciones destacadas de ABCsync son ejecutar shells remotos, ejecutar comandos utilizando cmd.exe y extraer informaci\u00f3n del sistema y otros datos.<\/p>\n Se ha observado que tanto ABCloader como ABCsync emplean t\u00e9cnicas como el cifrado de cadenas para ocultar rutas de archivos importantes, nombres de archivos, claves, mensajes de error y direcciones de comando y control (C2). Tambi\u00e9n realizan varias comprobaciones para determinar si los procesos se est\u00e1n depurando o ejecutando en una m\u00e1quina virtual o en un entorno aislado mediante la validaci\u00f3n de la resoluci\u00f3n de la pantalla.<\/p>\n Otro paso crucial que toma Actor240524 es que inspecciona si el n\u00famero de procesos que se ejecutan en el sistema comprometido es menor a 200 y, de ser as\u00ed, sale del proceso malicioso.<\/p>\n ABCloader tambi\u00e9n est\u00e1 dise\u00f1ado para iniciar un cargador similar llamado “synchronize.exe” y un archivo DLL llamado “vcruntime190.dll” o “vcruntime220.dll”, que son capaces de configurar la persistencia en el host.<\/p>\n “Azerbaiy\u00e1n e Israel son pa\u00edses aliados con estrechos intercambios econ\u00f3micos y pol\u00edticos”, dijo NSFOCUS. “La operaci\u00f3n de Actor240524 esta vez probablemente apunta a la relaci\u00f3n de cooperaci\u00f3n entre los dos pa\u00edses, apuntando a ataques de phishing contra el personal diplom\u00e1tico de ambos pa\u00edses”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nueva-ciberamenaza-ataca-a-diplomaticos-de-Azerbaiyan-e-Israel-y.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n