Un actor de amenazas relativamente nuevo conocido como Yoro Trooper probablemente esté formado por operadores originarios de Kazajstán.
La evaluación, que proviene de Cisco Talos, se basa en su fluidez en kazajo y ruso, el uso de tenge para pagar la infraestructura operativa y su focalización muy limitada en entidades kazajas, salvo la Agencia Anticorrupción del gobierno.
“YoroTrooper intenta ofuscar el origen de sus operaciones, empleando varias tácticas para hacer que su actividad maliciosa parezca emanar de Azerbaiyán, como el uso de nodos de salida VPN locales de esa región”, dijeron los investigadores de seguridad Asheer Malhotra y Vitor Ventura. dicho.
Documentado por primera vez por la empresa de ciberseguridad en marzo de 2023, se sabe que el adversario está activo desde al menos junio de 2022, destacando varias entidades estatales en los países de la Comunidad de Estados Independientes (CEI). La empresa eslovaca de ciberseguridad ESET está rastreando la actividad bajo el nombre de SturgeonPhisher.
Los ciclos de ataque de YoroTrooper se basan principalmente en el phishing para distribuir una mezcla de malware ladrón de productos básicos y de código abierto, aunque también se ha observado que el grupo utiliza el vector de acceso inicial para dirigir a las víctimas a sitios de recolección de credenciales controlados por el atacante.
“La práctica de recolección de credenciales es complementaria a las operaciones basadas en malware de YoroTrooper con el objetivo final de ser el robo de datos”, dijeron los investigadores.
La divulgación pública de las campañas del actor de amenazas ha provocado una renovación táctica de su arsenal, pasando del malware básico a herramientas personalizadas programadas en Python, PowerShell, Golang y Rust.
Los fuertes vínculos del actor con Kazajstán se deben al hecho de que este país realiza periódicamente análisis de seguridad del servicio estatal de correo electrónico, mail[.]kz, lo que indica esfuerzos continuos para monitorear el sitio web en busca de posibles vulnerabilidades de seguridad.
También comprueba periódicamente los tipos de conversión de moneda entre Tenge y Bitcoin en Google (“btc a kzt”) y utiliza alfachange.[.]com para convertir Tenge a Bitcoin y pagar el mantenimiento de la infraestructura.
A partir de junio de 2023, los ataques de YoroTrooper a los países de la CEI han ido acompañados de un mayor enfoque en implantes personalizados, al tiempo que se utilizan escáneres de vulnerabilidades como Acunetix y datos de código abierto de motores de búsqueda como Shodan para localizar e infiltrarse en las redes de las víctimas.
Algunos de los objetivos incluyeron la Cámara de Comercio de Tayikistán, la Agencia de Control de Drogas, el Ministerio de Asuntos Exteriores, el KyrgyzKomur de Kirguistán y el Ministerio de Energía de la República de Uzbekistán.
Otro aspecto destacable es el uso de cuentas de correo electrónico para registrarse y adquirir herramientas y servicios, incluida una suscripción a NordVPN y una instancia de VPS de netx.[.]hosting por $16 al mes.
Una actualización importante de la cadena de infección implica trasladar su troyano de acceso remoto (RAT) basado en Python a PowerShell, así como emplear un shell inverso interactivo personalizado para ejecutar comandos en puntos finales infectados a través de cmd.exe. PowerShell RAT está diseñado para aceptar comandos entrantes y extraer datos a través de Telegram.
Además de experimentar con múltiples tipos de vehículos de entrega para sus puertas traseras, se dice que YoroTrooper agregó malware basado en Golang y Rust a partir de septiembre de 2023, lo que le permitió establecer un shell inverso y recopilar datos confidenciales.
“Sus implantes basados en Golang son puertos de RAT basado en Python que utiliza canales de Telegram para la exfiltración de archivos y la comunicación C2”, explicaron los investigadores.