Un grupo hacktivista conocido como Yegua l\u00edder<\/strong> Se ha vinculado a ataques cibern\u00e9ticos que tienen como objetivo exclusivamente a organizaciones ubicadas en Rusia y Bielorrusia.<\/p>\n “Head Mare utiliza m\u00e9todos m\u00e1s actualizados para obtener acceso inicial”, afirma Kaspersky dicho<\/a> en un an\u00e1lisis del lunes sobre las t\u00e1cticas y herramientas del grupo.<\/p>\n “Por ejemplo, los atacantes aprovecharon la vulnerabilidad CVE-2023-38831 relativamente reciente en WinRAR, que permite al atacante ejecutar c\u00f3digo arbitrario en el sistema a trav\u00e9s de un archivo especialmente preparado. Este enfoque permite al grupo distribuir y disfrazar la carga maliciosa de manera m\u00e1s efectiva”.<\/p>\n Head Mare, activo desde 2023, es uno de los grupos hacktivistas que atacan a organizaciones rusas en el contexto del conflicto ruso-ucraniano que comenz\u00f3 un a\u00f1o antes.<\/p>\n Tambi\u00e9n mantiene una presencia en X<\/a>donde ha filtrado informaci\u00f3n sensible y documentaci\u00f3n interna de las v\u00edctimas. Entre los objetivos de los ataques del grupo se encuentran los sectores de los gobiernos, el transporte, la energ\u00eda, la fabricaci\u00f3n y el medio ambiente.<\/p>\n A diferencia de otras personalidades hacktivistas que probablemente operan con el objetivo de infligir “m\u00e1ximo da\u00f1o” a las empresas de los dos pa\u00edses, Head Mare tambi\u00e9n encripta los dispositivos de las v\u00edctimas utilizando LockBit para Windows y Babuk para Linux (ESXi), y exige un rescate para desencriptar los datos.<\/p>\n Tambi\u00e9n forman parte de su conjunto de herramientas PhantomDL y PhantomCore, el primero de los cuales es un Puerta trasera basada en Go<\/a> que es capaz de entregar cargas \u00fatiles adicionales y cargar archivos de inter\u00e9s a un servidor de comando y control (C2).<\/p>\n PhantomCore (tambi\u00e9n conocido como PhantomRAT), un predecesor de PhantomDL, es un troyano de acceso remoto con caracter\u00edsticas similares, que permite descargar archivos del servidor C2, cargar archivos desde un host comprometido al servidor C2, as\u00ed como ejecutar comandos en el int\u00e9rprete de l\u00ednea de comandos cmd.exe.<\/p>\n “Los atacantes crean tareas programadas y valores de registro denominados MicrosoftUpdateCore y MicrosoftUpdateCoree para disfrazar su actividad como tareas relacionadas con el software de Microsoft”, dijo Kaspersky.<\/p>\n “Tambi\u00e9n descubrimos que algunas muestras de LockBit utilizadas por el grupo ten\u00edan los siguientes nombres: OneDrive.exe [and] VLC.exe. Estas muestras se encontraban en el directorio C:ProgramData y se hac\u00edan pasar por aplicaciones leg\u00edtimas de OneDrive y VLC.<\/p>\n Se ha descubierto que ambos artefactos se distribuyen a trav\u00e9s de campa\u00f1as de phishing en forma de documentos comerciales con extensiones dobles (por ejemplo, n\u00famero 201-5_10\u0432\u044d_001-24 al pie de ekran-sho-2.pdf.exe o este al pie de p\u00e1gina.pdf.exe).<\/p>\n Otro componente crucial de su arsenal de ataque es Sliver, un marco C2 de c\u00f3digo abierto y una colecci\u00f3n de varias herramientas disponibles p\u00fablicamente como rsockstun, ngrok y Mimikatz que facilitan el descubrimiento, el movimiento lateral y la recolecci\u00f3n de credenciales.<\/p>\n Las intrusiones culminan con la implementaci\u00f3n de LockBit o Babuk, seg\u00fan el entorno objetivo, seguido de la publicaci\u00f3n de una nota de rescate que exige un pago a cambio de un descifrador para desbloquear los archivos.<\/p>\n “Las t\u00e1cticas, m\u00e9todos, procedimientos y herramientas utilizadas por el grupo Head Mare son generalmente similares a las de otros grupos asociados con cl\u00fasteres que atacan a organizaciones en Rusia y Bielorrusia en el contexto del conflicto ruso-ucraniano”, dijo el proveedor de ciberseguridad ruso.<\/p>\n “Sin embargo, el grupo se distingue por utilizar malware personalizado como PhantomDL y PhantomCore, adem\u00e1s de explotar una vulnerabilidad relativamente nueva, CVE-2023-38831, para infiltrarse en la infraestructura de sus v\u00edctimas en campa\u00f1as de phishing”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Hacktivistas-explotan-vulnerabilidad-de-WinRAR-en-ataques-contra-Rusia-y.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n