Investigadores de ciberseguridad han descubierto una operación dirigida contra Ucrania que aprovechaba una falla de casi siete años en Microsoft Office para implementar Cobalt Strike en sistemas comprometidos.
La cadena de ataque, que tuvo lugar a finales de 2023 según Deep Instinct, emplea un archivo de presentación de diapositivas de PowerPoint («signal-2023-12-20-160512.ppsx») como punto de partida, y el nombre del archivo implica que puede tener ha sido compartido a través de la aplicación de mensajería instantánea Signal.
Dicho esto, no hay evidencia real que indique que el archivo PPSX se distribuyó de esta manera, a pesar de que el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha descubierto dos campañas diferentes que han usado el aplicación de mensajería como un vector de entrega de malware en el pasado.
La semana pasada, la agencia revelado que las fuerzas armadas ucranianas están siendo cada vez más atacadas por el grupo UAC-0184 a través de plataformas de mensajería y citas para distribuir malware como Secuestrador (también conocido como PULSO FANTASMA y ESCALADA DE SOMBRA), Xgusanoy Remcos RATAasí como programas de código abierto como señal superior y entonces para extraer datos de las computadoras.
«El archivo PPSX (presentación de diapositivas de PowerPoint) parece ser un antiguo manual de instrucciones del ejército estadounidense sobre hojas desminadoras (MCB) para tanques», afirmó el investigador de seguridad Ivan Kosarev. dicho. «El archivo PPSX incluye una relación remota con un objeto OLE externo».
Esto implica la explotación de CVE-2017-8570 (Puntuación CVSS: 7,8), un error de ejecución remota de código en Office ahora parcheado que podría permitir a un atacante realizar acciones arbitrarias al convencer a una víctima de abrir un archivo especialmente diseñado para cargar un script remoto alojado en weavesilk.[.]espacio.
Posteriormente, el script muy ofuscado lanza un archivo HTML que contiene código JavaScript, que, a su vez, configura la persistencia en el host a través del Registro de Windows y suelta una carga útil de la siguiente etapa que se hace pasar por el cliente VPN Cisco AnyConnect.
La carga útil incluye una biblioteca de vínculos dinámicos (DLL) que finalmente inyecta un archivo crackeado. Baliza de ataque de cobaltoa herramienta legítima de prueba de penetracióndirectamente en la memoria del sistema y espera más instrucciones de un servidor de comando y control (C2) («petapixel[.]divertido»).
La DLL también incluye funciones para comprobar si se está ejecutando en una máquina virtual y evadir la detección del software de seguridad.
Deep Instinct dijo que no podía vincular los ataques a un actor o grupo de amenazas específico ni excluir la posibilidad de un ejercicio de equipo rojo. Tampoco está claro el objetivo final exacto de la intrusión.
«El señuelo contenía contenido relacionado con el ejército, lo que sugería que estaba dirigido a personal militar», dijo Kosarev.
«Pero los nombres de dominio tejen seda[.]espacio y petapixel[.]La diversión se disfraza de un oscuro sitio de arte generativo (weavesilk[.]com) y un sitio de fotografía popular (petapixel[.]com). Estos no están relacionados y es un poco desconcertante por qué un atacante los usaría específicamente para engañar al personal militar».
La divulgación se produce como CERT-UA. reveló que unos 20 proveedores de energía, agua y calefacción en Ucrania han sido atacados por un grupo patrocinado por el estado ruso llamado UAC-0133, un subgrupo dentro gusano de arena (también conocido como APT44, FROZENBARENTS, Seashell Blizzard, UAC-0002 y Voodoo Bear), que es responsable de la mayor parte de todas las operaciones disruptivas y destructivas contra el país.
Los ataques, cuyo objetivo era sabotear operaciones críticas, implican el uso de malware como Ciudad del Cabo (también conocido como ICYWELL, KnuckleTouch, QUEUESEED y evilsens) y su variante de Linux BIASBOAT, así como GOSSIPFLOW y LOADGRIP.
Mientras que GOSSIPFLOW es un proxy SOCKS5 basado en Golang, LOADGRIP es un binario ELF escrito en C que se utiliza para cargar BIASBOAT en hosts Linux comprometidos.
El gusano de arena es un grupo de amenazas prolífico y altamente adaptable vinculado a la Unidad 74455 dentro de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). Se sabe que está activo desde al menos 2009, y el adversario también está vinculado a tres personajes hacktivistas que piratean y filtran, como Equipo XakNet, CyberArmyofRussia_Reborn, y Solntsepek.
«Patrocinado por la inteligencia militar rusa, APT44 es un actor de amenazas dinámico y operacionalmente maduro que participa activamente en todo el espectro de espionaje, ataque y operaciones de influencia,» Mandante dichodescribiendo la amenaza persistente avanzada (APT) como involucrada en un esfuerzo múltiple para ayudar a Rusia a obtener una ventaja en tiempos de guerra desde enero de 2022.
«Las operaciones del APT44 tienen un alcance global y reflejan los amplios intereses y ambiciones nacionales de Rusia. Los patrones de actividad a lo largo del tiempo indican que el APT44 tiene la tarea de una variedad de prioridades estratégicas diferentes y es muy probable que el Kremlin lo vea como un instrumento de poder flexible capaz de sirviendo a requisitos de inteligencia tanto duraderos como emergentes».
