El Equipo de Respuesta a Emergencias Inform\u00e1ticas de Ucrania (CERT-UA) advirti\u00f3 sobre ataques cibern\u00e9ticos dirigidos a organismos estatales en el pa\u00eds como parte de una campa\u00f1a de espionaje.<\/p>\n
El conjunto de intrusi\u00f3n<\/a>, atribuido a un actor de amenazas rastreado por la autoridad como UAC-0063 desde 2021, aprovecha los se\u00f1uelos de phishing para implementar una variedad de herramientas maliciosas en los sistemas infectados. Actualmente se desconocen los or\u00edgenes del equipo de pirater\u00eda.<\/p>\n En la cadena de ataques descrita por la agencia, los correos electr\u00f3nicos estaban dirigidos a un ministerio no especificado y pretend\u00edan ser de la Embajada de Tayikist\u00e1n en Ucrania. Se sospecha que los mensajes se enviaron desde un buz\u00f3n previamente comprometido.<\/p>\n Los correos electr\u00f3nicos vienen adjuntos con un documento de Microsoft Word que, al habilitar las macros, inicia un VBScript codificado llamado HATVIBE, que luego se usa para colocar malware adicional.<\/p>\n Esto incluye un registrador de teclas (LOGPIE), una puerta trasera basada en Python capaz de ejecutar comandos enviados desde un servidor remoto (CHERRYSPY) y una herramienta enfocada en filtrar archivos con extensiones espec\u00edficas (STILLARCH o DownEx).<\/p>\n Vale la pena se\u00f1alar que Bitdefender document\u00f3 recientemente que DownEx fue utilizado por un actor desconocido en ataques altamente dirigidos contra entidades gubernamentales en Kazajst\u00e1n y Afganist\u00e1n.<\/p>\n “Un estudio adicional de la infraestructura y los archivos relacionados permitieron concluir que entre los objetos de inter\u00e9s del grupo se encuentran organizaciones de Mongolia, Kazajst\u00e1n, Kirguist\u00e1n, Israel, [and] India”, dijo CERT-UA.<\/p>\n Los hallazgos muestran que algunos actores de amenazas todav\u00eda est\u00e1n empleando malware basado en macros<\/a> a pesar de que Microsoft deshabilit\u00f3 la funci\u00f3n de forma predeterminada en los archivos de Office descargados de la web.<\/p>\n Dicho esto, las restricciones de Microsoft han llevado a varios grupos de ataque a experimentar y adaptar sus cadenas de ataque y mecanismos de entrega de carga \u00fatil para incluir tipos de archivos poco comunes (CHM, ISO, LNK, VHD, XLL y WSF) y t\u00e9cnicas como el contrabando de HTML.<\/p>\n Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n Guardar mi asiento!<\/a><\/div>\n La firma de seguridad empresarial Proofpoint dijo que observ\u00f3 m\u00faltiples agentes de acceso inicial (IAB), actores que se infiltran en los principales objetivos y luego venden ese acceso a otros ciberdelincuentes para obtener ganancias, utilizando archivos PDF y OneNote a partir de diciembre de 2022.<\/p>\n “La experimentaci\u00f3n y el cambio regular a nuevas t\u00e9cnicas de entrega de carga \u00fatil por parte de los actores de amenazas rastreados, especialmente los IAB, es muy diferente de las cadenas de ataque observadas antes de 2022 y presagia una nueva actividad normal de amenazas”, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n “Los actores ciberdelincuentes m\u00e1s experimentados ya no conf\u00edan en una o algunas t\u00e9cnicas, sino que desarrollan e iteran con frecuencia nuevos TTP. La r\u00e1pida tasa de cambio para muchos actores de amenazas sugiere que tienen el tiempo, la capacidad y la comprensi\u00f3n del panorama de amenazas. para desarrollar y ejecutar r\u00e1pidamente nuevas t\u00e9cnicas”.<\/p>\n <\/p>\n