El actor de amenaza conocido como lobos raros (anteriormente lobos) está vinculado a una serie de ataques cibernéticos dirigidos a los países de Rusia y los Estados Independientes (IC).
«Una característica distintiva de esta amenaza es que apoya a los atacantes que utilizan software legal de terceros para desarrollar sus propios binarios maliciosos», dijo Kaspersky. «Las características maliciosas de la campaña descrita en este artículo se implementan a través de archivos de comandos y scripts de PowerShell».
El propósito del ataque es establecer el acceso remoto a las credenciales comprometidas del host y el sifón e implementar el minero de criptomonedas XMRIG. La actividad afectó a cientos de usuarios rusos en empresas industriales y escuelas de ingeniería, y redujo las infecciones registradas en Bielorrusia y Kazajstán.
El hombre lobo inusual, también conocido como bibliotecario Ghouls y Rezet, es un apodo asignado al grupo avanzado de amenaza persistente (APT), con un historial de organizaciones impresionantes en Rusia y Ucrania. Se cree que está activo desde al menos 2019.
Según Bi.Zone, los actores de amenaza usan correos electrónicos de phishing para obtener acceso inicial, aprovechar el andamio para robar documentos, eliminar herramientas como Mipko Employee Monitor, WebBrowserPassView y el control de defensores para interactuar con sistemas infectados, cosechar contraseñas y deshabilitar el software antivirus.
El último conjunto de ataque documentado por Kaspersky revela que utiliza correos electrónicos de phishing como vehículo de entrega de malware, utilizando archivos protegidos con contraseña que contienen ejecutables como punto de partida para activar la infección.
Residen en el archivo hay un instalador que se utiliza para implementar herramientas legítimas llamadas minimizadores de la bandeja 4T, y otras cargas útiles que contienen documentos PDF señuelo que imitan los pedidos de pago.
«El software puede minimizar la ejecución de la aplicación en la bandeja del sistema, permitiendo a los atacantes oscurecer su existencia en el sistema comprometido», dijo Kaspersky.
Estas cargas útiles intermedias se utilizan para recuperar archivos adicionales de servidores remotos, como el control de defensores y el blat, utilidades legítimas para enviar datos robados a través de SMTP a las direcciones de correo electrónico controladas por el atacante. El ataque también se caracteriza por el uso del software de escritorio remoto Anydesk y por los scripts de lotes de Windows que facilitan el robo de datos y la implementación menor.
Un aspecto notable de las secuencias de comandos por lotes es que lanza un script de PowerShell que incorpora la capacidad de despertar automáticamente el sistema de víctimas a la hora local de 1 a.m. y permite a los atacantes acceder a una ventana de 4 horas a través de Anydesk. La máquina será cerrada a las 5 am por una tarea programada.
«Utilizar el software legal de terceros para fines maliciosos es una técnica común, lo que hace que sea más difícil detectar y atribuir actividades APT», dijo Kaspersky. «Todas las características maliciosas aún dependen de los instaladores, comandos y scripts de PowerShell».
La divulgación se debe a que la tecnología positiva reveló que un grupo de delitos cibernético motivado financieramente llamado Darkgaboon está dirigido a entidades rusas utilizando ransomware Lockbit 3.0. Se dice que Darkgaboon, descubierto por primera vez en enero de 2025, estuvo en funcionamiento desde mayo de 2023.
El ataque utiliza correos electrónicos de phishing que contienen documentos de cebo RTF y archivos de archivo que contienen archivos de pantalla de pantalla de pantalla de Windows para soltar el cifrado de Lockbit y los caballos troyanos como Xworm y Revenge Rat. El uso de herramientas fácilmente disponibles se ve por parte de los atacantes como un intento de consolidarse con una gama más amplia de actividades cibercriminales y desafiar los esfuerzos de atribución.
«Darkgaboon no es un cliente del servicio Lockbit Raas y actúa de forma independiente, como lo demuestra el uso de versiones públicas de ransomware Lockbit, no hay rastros de extracción de datos en la empresa atacada y la amenaza tradicional de publicar información robada sobre el portal (sitio de fuga de datos).
Source link
