Los investigadores de ciberseguridad han marcado la similitud táctica entre el actor de amenaza detrás de la rata de comedia romántica y el grupo donde se observa que se administran dispositivos de transferencia de doblaje.
Según el TA829, la empresa de seguridad empresarial, Proofpoint, rastrea las actividades relacionadas con los cargadores de transferencia a grupos llamados UNK_GREENSEC. Estos últimos también se conocen como cigarros, la mantis ambigua, Storm-0978, Tropical Scorpius, UAC-0180, UAT-5647, UNC2596 y Boyd Ravis.
La compañía dijo que descubrió UNK_GREENSEC como parte de su investigación en TA829, explicando que utiliza «infraestructura similar, tácticas de distribución, páginas de destino y temas de señuelos por correo electrónico».
TA829 es como un grupo de piratería raro en situaciones de amenazas dada su capacidad para llevar a cabo el espionaje y los ataques con motivación financiera. Los grupos híbridos junto con Rusia también están vinculados a la explotación del día cero de fallas de seguridad en Mozilla Firefox y Microsoft Windows para proporcionar ratas románticas en ataques dirigidos a objetivos globales.
A principios de este año, los actores de amenaza detallados de ProDaft utilizan proveedores de alojamiento a prueba de balas, tácticas de salvador y comunicaciones de comando y control (C2) para detección de pasos laterales.
Mientras tanto, TransferLoader fue documentado por primera vez por Zscaler Amenazlabz en relación con la campaña de febrero de 2025.
Proofpoint señaló que las campañas administradas por TA829 y UNK_GREENSEC confían en los servicios de proxy REM implementados en los enrutadores Mikrotik que se han comprometido debido a la infraestructura aguas arriba. Dicho esto, se desconoce el método exacto utilizado para violar estos dispositivos.
«Es probable que los dispositivos proxy REM se alquilen a los usuarios para transmitir el tráfico», dijo el equipo de investigación de amenazas de PROASPPOINT. «En la campaña observada, tanto TA829 como Unk_greensec usan el servicio para transmitir el tráfico a nuevas cuentas del proveedor de correo gratuito y enviarlo al objetivo. El servicio REM Proxy se utiliza para lanzar campañas similares a través de cuentas de correo electrónico comprometidas por TA829».
Dado el formato similar de las direcciones del remitente, es probable que los actores de amenazas usen servicios públicos de creadores de correo electrónico que facilitan la creación de ENS y envían correos electrónicos de suministro a través de nodos REM.
El mensaje actúa como un conducto para entregar enlaces que están incrustados directamente en el cuerpo o directamente en la instalación de PDF. Cuando hace clic en el enlace, si finalmente lleva a la víctima a una página falsa de Google Drive o Microsoft OneDrive, lanzará una serie de redirecciones que finalmente llevarán a la víctima a una página falsa de Google Drive o Microsoft OneDrive, excluyendo las máquinas que no se interesan por el atacante.
En esta etapa, la infraestructura enemiga a la que se redirige el objetivo es diferente, por lo que el ataque se dividirá en dos, y al final, en el caso de Unk_Greensec, el stock de malware llamado Slipscreen en el caso de TA829.
«Ta829 y Unk_greensec desplegaron las utilidades Plink de Putty para configurar el túnel SSH, y ambos usaron el servicio IPFS para alojar esas utilidades en una actividad de seguimiento», dijo Proofpoint.
SlipsCreen es un cargador de primera etapa diseñado para descifrar y cargar shellcode directamente en la memoria y comenzar a comunicarse con servidores remotos, pero después de una verificación del registro de Windows, asegura que la computadora de destino tenga al menos 55 documentos recientes basados en «HKCU \ Software \ Microsoft \ Windows \ Current \ CurrentOrsion \ Experer \ Doctodocs».
La secuencia de infección se usa para implementar un descargador llamado MeltingClaw (también conocido como Peacock Damasced) o Rustyclaw. Se usa para dejar caer traseros como Shadyhammock y Dustyhammock, el primero se usa para disparar sin soltería (también conocido como Snipbot), una versión actualizada de Romcom Rat.
Además de ejecutar comandos de reconocimiento en sistemas infectados, Dustyhammock también tiene la capacidad de descargar cargas útiles adicionales alojadas en las redes del sistema de archivos interplanetarios (IPFS).
Se sabe que las campañas de propagación de los carneros de transferencia aprovechan los mensajes de las oportunidades de empleo para engañar a las víctimas, haciendo clic en enlaces que aparentemente conducen a reanudaciones PDF y, de hecho, descargan el cargador de transferencia de IPFS WebShare.
El objetivo principal del cargador de transferencias es volar debajo del radar y proporcionar más malware, como el metaSploit y el ransomware Morpheus. Esta es una versión renombrada de Hellcat Ransomware.
«A diferencia de la campaña TA829, el componente JavaScript de la campaña de transferencia redirigió a los usuarios a diferentes puntos finales de PHP en el mismo servidor, lo que permite a los operadores realizar un filtrado adicional del lado del servidor», dijo Proofpoint. «Unk_greensec utilizó páginas de destino dinámicas, pero en muchos casos no estaba relacionado con la parodia de OneDrive y se redirigió a la carga útil final almacenada en IPFS WebShare».
El comercio superpuesto entre TA829 y unk_greensec causa una de las cuatro posibilidades –
Los actores de amenaza de distribución e infraestructura del mismo proveedor de terceros TA829, y adquieren y distribuyen la infraestructura por sí sola, proporcionando estos servicios a unk_greensec unk_greensec. Lo mismo, y TransferLoader es una nueva adición a su arsenal de malware
«En el panorama de amenazas actual, los puntos de superposición entre el delito cibernético y el espionaje continúan aumentando, eliminando las barreras únicas que separan a los delincuentes y los actores nacionales», dijo Proofpoint. «Las campañas, los indicadores y el comportamiento de los actores de amenaza se han convergido, lo que dificulta la atribución y la agrupación dentro del ecosistema».
«No hay suficiente evidencia para demostrar la naturaleza exacta de la relación entre TA829 y Unk_Greensec, pero hay una gran posibilidad de que haya un vínculo entre los grupos».
Source link
