El Equipo de Respuesta a Emergencias de la Computación Ucrania (CERT-UA) advirtió sobre los ataques cibernéticos llevados a cabo por actores de amenaza llamados UAC-0099, dirigidos a agencias gubernamentales nacionales, fuerzas de defensa y empresas en los parques industriales de defensa.
Los ataques que usan el correo electrónico de phishing como vector de compromiso inicial se utilizan para proporcionar familias de malware como Matchboil, Matchwok y Dragstare.
UAC-0099 fue publicado por primera vez por su agencia en junio de 2023 y tiene un historial de apuntar a entidades ucranianas con fines de espionaje. Se han observado ataques anteriores que aprovechan las fallas de seguridad en el software Winrar (CVE-2023-38831, puntaje CVSS: 7.8) para propagar malware llamado LonePage.
Las últimas cadenas de enfermedades infecciosas utilizan señuelos por correo electrónico relacionados con la convocatoria de la corte para seducir a los destinatarios para hacer clic en un enlace acortado utilizando servicios de acortamiento de URL como Cuttly. Estos enlaces se envían a través de la dirección de correo electrónico de UKR.NET y consulte un archivo de doble archivo que contiene archivos de aplicación HTML (HTA).
La ejecución de la carga útil HTA desencadena el lanzamiento de archivos de script de Visual Basic ofvesados que ejecutan un cargador llamado MatchBoil, un programa basado en C#diseñado para crear tareas programadas para la continuación y, en última instancia, eliminar el malware adicional en el host.
Esto incluye una puerta trasera llamada Matchwok y un Steeler llamado Dragstare. Además, MatchWok escrito utilizando el lenguaje de programación C# puede ejecutar comandos de PowerShell y pasar los resultados de la ejecución a un servidor remoto.
Mientras tanto, Dragstare está equipado para que coincida con «.txt», «.ovpn») en una lista particular de información del sistema, datos de navegadores web y extensiones («.Docx», «.doc», .xls «,» .txt «,» .ovpn «,» .rdp «,» .txt «,» .pdf «). Los comandos de PowerShell recibidos de los servidores controlados por el atacante.
La divulgación detalla el uso de seis nuevas herramientas de malware diseñadas para el sigilo, la persistencia y el movimiento lateral, poco más de un mes después de que ESET publicó un informe detallado que catalogan los ataques de lanza «implacables» de Gamallen contra las entidades ucranianas en 2024 –
Pterodespair, una herramienta de reconocimiento de PowerShell que recopila datos de diagnóstico para malwells de malware previamente implementado, pterotickle y dispositivos de armas PowerShell que se dirigen a aplicaciones de pitón que se han convertido en ejecutables en unidades fijas y removibles, promueven el movimiento lateral mediante un código inyectado que probablemente se utilizará el petróptico mediante pteropsografía. Cree un canal de comunicación cifrado para tareas programadas y entrega de carga útil a través del Telegraph API Pterostew, un descargador VBScript similar a Pterosand y Pterorisk. PowerShell File Steeler es similar a Pteropsdoor, pero similar a los archivos robados robados por Dropbox
«La actividad de las lanzas de Gammerderson aumentó significativamente en la segunda mitad de 2024», dijo el investigador de seguridad Zoltan Rusnak. «La campaña generalmente duró 1-5 días seguidos, con correos electrónicos que contienen archivos maliciosos (RAR, ZIP, 7Z) o archivos XHTML que emplean tecnología de contrabando HTML».
Los ataques a menudo dan como resultado la entrega de archivos maliciosos de HTA o LNK que ejecutan descargadores de VBScript incrustados como PterOpsdoor, Pterolnk, Pterovdoor y Pteropsload, así como archivos HTA o LNK maliciosos que ejecutan descargadores de VBScript incrustados como Pterosand.
Otros aspectos notables de los comerciantes de actores de amenaza junto con Rusia incluyen el uso de la tecnología DNS del primer flujo y su dependencia de los servicios legítimos de terceros como Telegram, Telegraph, CodeBerg y Cloudflare Tunnels.
«A pesar de sus limitaciones en las capacidades observables y el abandono de las herramientas antiguas, Gameardon sigue siendo un actor de amenaza clave gracias a su innovación continua, campañas agresivas de giro y esfuerzos continuos para evitar la detección», dijo Eset.
Source link
