Las entidades en Armenia han sido objeto de un ataque cibern\u00e9tico utilizando una versi\u00f3n actualizada de una puerta trasera llamada OxtaRAT<\/strong> que permite el acceso remoto y la vigilancia del escritorio.<\/p>\n “Las capacidades de la herramienta incluyen la b\u00fasqueda y extracci\u00f3n de archivos de la m\u00e1quina infectada, la grabaci\u00f3n de video desde la c\u00e1mara web y el escritorio, el control remoto de la m\u00e1quina comprometida con TightVNC, la instalaci\u00f3n de un shell web, la exploraci\u00f3n de puertos y m\u00e1s”, Check Point Research dicho<\/a> en un informe<\/p>\n Se dice que la \u00faltima campa\u00f1a comenz\u00f3 en noviembre de 2022 y marca la primera vez que los actores de amenazas detr\u00e1s de la actividad han ampliado su enfoque m\u00e1s all\u00e1 de Azerbaiy\u00e1n.<\/p>\n \u201cLos actores de amenazas detr\u00e1s de estos ataques han estado apuntando a organizaciones de derechos humanos, disidentes y medios independientes en Azerbaiy\u00e1n durante varios a\u00f1os\u201d, se\u00f1al\u00f3 la firma de seguridad cibern\u00e9tica, llamando a la campa\u00f1a Operaci\u00f3n Silent Watch.<\/p>\n Las intrusiones de fines de 2022 son significativas, sobre todo por los cambios en la cadena de infecci\u00f3n, los pasos tomados para mejorar la seguridad operativa y equipar la puerta trasera con m\u00e1s municiones.<\/p>\n El punto de partida de la secuencia de ataque es un archivo autoextra\u00edble que imita un archivo PDF y tiene un icono de PDF. Al iniciar el supuesto “documento”, se abre un archivo se\u00f1uelo y, al mismo tiempo, se ejecuta sigilosamente un c\u00f3digo malicioso oculto dentro de una imagen.<\/p>\n Un archivo pol\u00edglota que combina un script AutoIT compilado y una imagen, OxtaRAT presenta comandos que permiten al actor de amenazas ejecutar comandos y archivos adicionales, recopilar informaci\u00f3n confidencial, realizar reconocimiento y vigilancia a trav\u00e9s de una c\u00e1mara web e incluso pasar a otros. <\/p>\n OxtaRAT ha sido poner en uso<\/a> por el adversario<\/a> desde junio de 2021, aunque con una funcionalidad significativamente reducida, lo que indica un intento de actualizar constantemente su conjunto de herramientas y convertirlo en un malware de navaja suiza.<\/p>\n El ataque de noviembre de 2022 tambi\u00e9n se destaca por varias razones. La primera es que los archivos .SCR que activan la cadena de eliminaci\u00f3n ya contienen el implante OxtaRAT en lugar de actuar como un descargador para obtener el malware.<\/p>\n “Esto evita que los actores tengan que realizar solicitudes adicionales de archivos binarios al servidor de C&C y atraer una atenci\u00f3n innecesaria, adem\u00e1s de ocultar el malware principal para que no se descubra f\u00e1cilmente en la m\u00e1quina infectada, ya que se ve como una imagen normal y no pasa por el tipo espec\u00edfico. protecciones”, explic\u00f3 Check Point.<\/p>\n El segundo aspecto llamativo es la geovalla de los dominios de comando y control (C2) que alojan las herramientas auxiliares para las direcciones IP armenias.<\/p>\n Tambi\u00e9n es de destacar la capacidad de OxtaRAT para ejecutar comandos para escanear puertos y probar la velocidad de una conexi\u00f3n a Internet, la \u00faltima de las cuales probablemente se use como una forma de ocultar la exfiltraci\u00f3n de datos “extensa”.<\/p>\n “OxtaRAT, que anteriormente ten\u00eda principalmente capacidades de reconocimiento y vigilancia locales, ahora se puede utilizar como pivote para el reconocimiento activo de otros dispositivos”, dijo Check Point.<\/p>\n “Esto puede indicar que los actores de amenazas se est\u00e1n preparando para extender su principal vector de ataque, que actualmente es la ingenier\u00eda social, a ataques basados \u200b\u200ben infraestructura. Tambi\u00e9n podr\u00eda ser una se\u00f1al de que los actores est\u00e1n pasando de apuntar a individuos a apuntar a entornos m\u00e1s complejos o corporativos. .”<\/p>\n “Los actores de amenazas subyacentes han estado manteniendo el desarrollo de malware basado en Auto-IT durante los \u00faltimos siete a\u00f1os y lo est\u00e1n utilizando en campa\u00f1as de vigilancia cuyos objetivos son consistentes con los intereses de Azerbaiy\u00e1n”.<\/p>\n <\/p>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/02\/1676663845_269_Entidades-armenias-afectadas-por-la-nueva-version-de-la-herramienta.png\")
<\/div>\n