El gobierno ruso y las organizaciones de TI son el objetivo de una nueva campaña que ofrece una serie de puertas traseras y troyanos en una campaña de phishing con nombre en código Viento del este.
Las cadenas de ataques se caracterizan por el uso de archivos adjuntos RAR que contienen un archivo de acceso directo de Windows (LNK) que, cuando se abre, activa la secuencia de infección, lo que resulta en la implementación de malware como GrewApacha, una versión actualizada de la puerta trasera de CloudSorcerer y una puerta trasera no documentada anteriormente. implante llamado PlugY.
PlugY «se descarga a través de la puerta trasera de CloudSorcerer, tiene un amplio conjunto de comandos y admite tres protocolos diferentes para comunicarse con el servidor de comando y control», dijo la firma rusa de ciberseguridad Kaspersky. dicho.
El vector de infección inicial se basa en un archivo LNK atrapado, que utiliza Técnicas de carga lateral de DLL para iniciar un archivo DLL malicioso que utiliza Dropbox como mecanismo de comunicación para ejecutar comandos de reconocimiento y descargar cargas útiles adicionales.
El malware implementado utilizando la DLL incluye GrewApacha, una puerta trasera conocida previamente relacionado al grupo APT31 vinculado a China. También se lanzó mediante descarga de DLL y utiliza un perfil de GitHub controlado por el atacante como solucionador de caídas muertas para almacenar una cadena codificada en Base64 desde el servidor C2 real.
CloudSorcerer, por otro lado, es una sofisticada herramienta de ciberespionaje que se utiliza para vigilancia sigilosa, recopilación y exfiltración de datos a través de la infraestructura de nube de Microsoft Graph, Yandex Cloud y Dropbox. Como en el caso de GrewApacha, la variante actualizada aprovecha plataformas legítimas como LiveJournal y Quora como su servidor C2 inicial.
«Al igual que con las versiones anteriores de CloudSorcerer, las biografías de los perfiles contienen un token de autenticación cifrado para interactuar con el servicio en la nube», dijo Kaspersky.
Además, utiliza un mecanismo de protección basado en cifrado que garantiza que el malware se active sólo en la computadora de la víctima utilizando una clave única derivada de Windows. Función GetTickCount() en tiempo de ejecución.
La tercera familia de malware vista en los ataques PlugY, una puerta trasera con todas las funciones que se conecta a un servidor de administración mediante TCP, UDP o canalizaciones con nombre, y tiene capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo, registrar pulsaciones de teclas y capturar el contenido del portapapeles.
Kaspersky dijo que un análisis del código fuente de PlugX reveló similitudes con una puerta trasera conocida llamada DRBControl (también conocida como Trepar), que fue asignado a grupos de amenazas vinculados a China, identificados como APT27 y APT41.
«Los atacantes detrás de la campaña EastWind utilizaron servicios de red populares como servidores de comando: GitHub, Dropbox, Quora, así como LiveJournal y Yandex Disk en ruso», dijo la compañía.
Kaspersky también detalló un ataque de “abrevadero” que implica comprometer un sitio legítimo vinculado a suministros de gas en Rusia para distribuir un gusano llamado CMoon que puede recopilar datos confidenciales y de pago, tomar capturas de pantalla, descargar malware adicional y lanzar denegación de servicio distribuida (DDoS). ) ataques contra objetivos de interés.
El malware también recopila archivos y datos de varios navegadores web, billeteras de criptomonedas, aplicaciones de mensajería instantánea, clientes SSH, software FTP, aplicaciones de grabación y transmisión de video, autenticadores, herramientas de escritorio remoto y VPN.
“CMoon es un gusano escrito en . NET, con amplia funcionalidad para robo de datos y control remoto”, afirmó. dicho. “Inmediatamente después de la instalación, el archivo ejecutable comienza a monitorear las unidades USB conectadas. Esto le permite robar archivos que pueden ser de interés para los atacantes de medios extraíbles, así como copiar un gusano allí e infectar otras computadoras en las que se utilizará la clave. »
