El fallo de seguridad ahora parcheado de Google Chrome se utilizó como un día cero por un actor de amenaza conocido como impuesto al despliegue de Backdoor CodeNead Trinper.
Los ataques observados por tecnología positiva a mediados de marzo de 2025 incluyeron el uso de una vulnerabilidad de escape de Sandbox rastreada como CVE-2025-2783 (puntaje CVSS: 8.3).
Google se dirigió a los defectos más tarde ese mes después de que Kaspersky informara una explotación salvaje en una campaña llamada Operaciones de ForumTroll dirigidas a varias organizaciones rusas.
«El primer vector de ataque fue un correo electrónico de phishing con enlaces maliciosos», dijeron los investigadores de seguridad Stanislav Pizov y Vladislav Lunin. «Cuando la víctima hizo clic en el enlace, activó una exploit de un solo clic (CVE-2025-2783), lo que llevó a la instalación de la puerta trasera Trinper adoptada por Taxoff».
Se dice que el correo electrónico de phishing está disfrazado como una invitación al Foro de Medición de Primakov (la misma Lua detallada por Kaspersky).
Taxoff es el nombre asignado al grupo de piratería documentado por primera vez por una compañía de ciberseguridad rusa a fines de noviembre de 2024.
La puerta trasera escrita en C ++ utiliza múltiples subprocesos para capturar la información del host de las víctimas, registrar las teclas de teclas, recopilar archivos que coinciden con extensiones específicas (.doc, .xls, .ppt, .rtf y .pdf), establecer una conexión con un servidor remoto para recibir comandos y excluir resultados de ejecución.
Las instrucciones enviadas desde el servidor de comando y control (C2) extienden la funcionalidad del implante, leen/escriben archivos, ejecutan comandos usando cmd.exe, inician un shell inverso, cambian los directorios y cierra solo.
«Multithreading proporciona un alto grado de paralelismo para ocultar las puertas traseras mientras conserva la capacidad de recopilar y eliminar datos, instalar módulos adicionales y mantener la comunicación con C2», dijo Lunin en ese momento.
Positive Technologies dijo que la investigación sobre la invasión a mediados de marzo de 2025 descubrió otro ataque que data de octubre de 2024. Esto también comenzó con un correo electrónico de phishing.
El mensaje de correo electrónico también incluía un enlace con un archivo de archivo zip descargado con accesos directos con Windows. Esto finalmente lanzó un comando PowerShell que proporcionó el documento de señuelo, eliminando el cargador responsable de lanzar Trimperbackdoor con el cargador de donas de código abierto. Se sabe que la variación de ataque reemplaza al cargador de donas a favor de la huelga de cobalto.
Según la compañía, la cadena de ataque comparte varias similitudes tácticas con otro grupo de piratería rastreado como Team46, lo que aumenta la probabilidad de que los dos grupos de actividad de amenazas sean los mismos.
Curiosamente, otro conjunto de correos electrónicos de phishing enviados por los atacantes del equipo46 hace un mes de la aerolínea Rostelecom, con sede en Moscú, alertó a los destinatarios de una interrupción de mantenimiento el año pasado.
Estos correos electrónicos incluyeron un archivo zip. Esto estaba integrado con un atajo que invocaba un comando PowerShell que desplegaba un cargador previamente utilizado en ataques dirigidos a una compañía rusa desconocida en la industria de la carga ferroviaria.
La intrusión de marzo de 2024 detallada por Doctor Web es notable para descargar y ejecutar malware no decisado, con el hecho de que una de las cargas útiles armadas por una vulnerabilidad de secuestro de DLL en el navegador Yandex (CVE-2024-6473, CVSS puntaje: 8.4) como día cero. Resuelto en la versión 24.7.1.380, lanzado en septiembre de 2024.
«El grupo utiliza hazañas de día cero, lo que permite una infiltración más efectiva de la infraestructura segura», dijeron los investigadores. «Este grupo también crea y utiliza malware sofisticado, significa que tienen una estrategia a largo plazo y tienen la intención de mantener la sostenibilidad de sus sistemas comprometidos durante un largo período de tiempo».
Source link
