Se ha observado que un atacante alineado con Rusia conocido como UAC-0184 aprovecha la plataforma de mensajería Viber para distribuir archivos ZIP maliciosos y apuntar a agencias militares y gubernamentales en Ucrania.
«La organización continuará sus operaciones de recopilación de inteligencia de alta intensidad contra los sectores militar y gubernamental de Ucrania en 2025», dijo el Centro de Inteligencia de Amenazas 360 en un informe técnico.
El grupo de hackers, también identificado como Hive0156, es conocido por entregar cargadores de secuestro en ataques dirigidos a organizaciones ucranianas, principalmente utilizando señuelos con temas de guerra en correos electrónicos de phishing. El cargador de malware actúa entonces como vector de infección Remcos RAT.
Este actor de amenazas fue documentado por primera vez por CERT-UA a principios de enero de 2024. Las campañas de ataque posteriores descubrieron que aplicaciones de mensajería como Signal y Telegram se están utilizando como medio para distribuir malware. Los últimos hallazgos de los proveedores de seguridad chinos muestran que esta táctica está evolucionando aún más.
Esta cadena de ataque utiliza Viber como vector de intrusión inicial para distribuir un archivo ZIP malicioso que contiene múltiples archivos de acceso directo de Windows (LNK) disfrazados de documentos oficiales de Microsoft Word y Excel y engaña al destinatario para que los abra.
El archivo LNK está diseñado para actuar como un documento señuelo para reducir las sospechas de la víctima y ejecuta silenciosamente el cargador de secuestro en segundo plano recuperando un segundo archivo ZIP (‘smoothieks.zip’) de un servidor remoto usando un script de PowerShell.
El ataque reconstruye e implementa el cargador de secuestro en la memoria a través de un proceso de varios pasos que utiliza técnicas como la carga lateral de DLL y el uso de módulos para evitar la detección por parte de las herramientas de seguridad. Luego, el cargador escanea el entorno en busca de software de seguridad instalado, incluido el software de seguridad asociado con Kaspersky, Avast, BitDefender, AVG, Emsisoft, Webroot y Microsoft, calculando los hashes CRC32 de los programas correspondientes.
Además de establecer persistencia a través de una tarea programada, el cargador toma medidas para desactivar la detección de firmas estáticas antes de inyectar Remcos RAT en ‘chime.exe’ y ejecutarlo en secreto. Las herramientas de administración remota permiten a los atacantes administrar puntos finales, ejecutar cargas útiles, monitorear la actividad y robar datos.
«Aunque se comercializa como software legítimo de gestión de sistemas, sus poderosas capacidades de intrusión hacen que sea utilizado con frecuencia por una variedad de actores maliciosos para operaciones de ciberespionaje y robo de datos», dijo el 360 Threat Intelligence Center. «Remcos proporciona un panel de control de interfaz gráfica de usuario (GUI) que permite a los atacantes realizar una administración automatizada por lotes y una interacción manual precisa en los hosts de las víctimas».
Source link
