Un grupo hacktivista conocido como yegua cabeza se ha relacionado con ciberataques dirigidos exclusivamente a organizaciones ubicadas en Rusia y Bielorrusia.
«Head Mare utiliza métodos más modernos para obtener acceso inicial», dijo Kaspersky dicho en un análisis del lunes de las tácticas y herramientas del grupo.
“Por ejemplo, los atacantes aprovecharon la relativamente reciente vulnerabilidad CVE-2023-38831 en WinRAR, que permite al atacante ejecutar código arbitrario en el sistema a través de un archivo especialmente preparado. Este enfoque permite al grupo distribuir y ocultar la carga maliciosa de manera más efectiva. »
Head Mare, activo desde 2023, es uno de los grupos hacktivistas que atacan a organizaciones rusas en el contexto del conflicto ruso-ucraniano que comenzó un año antes.
También mantiene un presencia endonde las víctimas filtraron información confidencial y documentos internos. Los objetivos de los ataques del grupo incluyen gobiernos, transporte, energía, sectores industriales y ambientales.
A diferencia de otros piratas informáticos que probablemente operan con el objetivo de infligir «el máximo daño» a las empresas en ambos países, Head Mare también cifra los dispositivos de las víctimas utilizando LockBit para Windows y Babuk para Linux (ESXi), y exige un rescate por el descifrado de los datos.
PhantomDL y PhantomCore también forman parte de su caja de herramientas, siendo el primero un Puerta trasera basada en Go capaz de entregar cargas útiles adicionales y cargar archivos de interés a un servidor de comando y control (C2).
PhantomCore (también conocido como PhantomRAT), un predecesor de PhantomDL, es un troyano de acceso remoto con una funcionalidad similar, que permite descargar archivos desde el servidor C2, descargar archivos desde un host comprometido al servidor C2, así como ejecutar comandos en el cmd. Intérprete de línea de comando .exe.
«Los atacantes crean tareas programadas y valores de registro llamados MicrosoftUpdateCore y MicrosoftUpdateCoree para disfrazar su actividad como tareas relacionadas con el software de Microsoft», dijo Kaspersky.
“También notamos que algunas muestras de LockBit utilizadas por el grupo tenían los siguientes nombres: OneDrive.exe [and] VLC.exe. Estos ejemplos estaban ubicados en el directorio C:\ProgramData, haciéndose pasar por aplicaciones legítimas de OneDrive y VLC.
Se descubrió que ambos artefactos se distribuyeron mediante campañas de phishing en forma de documentos comerciales con extensiones dobles (por ejemplo, решение №201-5_10вэ_001-24 к пив экран-сои-2.pdf.exe o тз на разработку.pdf.exe). .
Otra parte crucial de su arsenal de ataques es Sliver, un marco C2 de código abierto y una colección de varias herramientas disponibles públicamente como rsockstun, ngrok y Mimikatz que facilitan el descubrimiento, el movimiento lateral y la identificación de inteligencia.
Las intrusiones culminan con la implementación de LockBit o Babuk dependiendo del entorno de destino, seguido del envío de una nota de rescate exigiendo el pago a cambio de un descifrador para desbloquear los archivos.
«Las tácticas, métodos, procedimientos y herramientas utilizadas por el grupo Head Mare son generalmente similares a las de otros grupos asociados con grupos dirigidos a organizaciones en Rusia y Bielorrusia en el contexto del conflicto ruso-ucraniano», dijo el proveedor de ciberseguridad ruso.
“Sin embargo, el grupo se distingue por utilizar malware hecho a medida como PhantomDL y PhantomCore, además de explotar una vulnerabilidad relativamente nueva, CVE-2023-38831, para infiltrarse en la infraestructura de sus víctimas en campañas de phishing. »
