Hackers rusos del grupo APT atacan las redes gubernamentales y militares utilizando documentos de Word

Los hackers Rusos del grupo APT, atacan las redes guvernamentales y militares utilizando documentos de Word con cargas maliciosas.

Los investigadores descubrieron una nueva actividad maliciosa involucrada por hackers rusos del grupo APT para atacar a funcionarios gubernamentales y militares en entidades ucranianas. Los objetivos del atacante no son limitados, sino que también infectan a varias personas que forman parte del gobierno y la policía, periodistas, diplomáticos, ONG y el Ministerio de Relaciones Exteriores.

Los investigadores creen que la campaña se atribuyó a la actividad de Gamaredon en la que los atacantes usaron Dynamic Domain Name Server como servidor C2, macro VBA y script VBA como parte de este ataque. Amenaza a los actores que usan archivos DOCX recopiladas durante la inteligencia en el objetivo y se distribuye a través de correos electrónicos de spearphishing.

Gamaredon también utilizan documentos con cargas maliciosas, a veces recuperados de fuentes legítimas como el vector de infección inicial. Los investigadores observaron la muestra maliciosa que revela la actividad APT desde al menos septiembre de 2019 hasta el 25 de noviembre de 2019.

Proceso de infección de malware:

Los investigadores observaron algunos de los documentos de señuelo que contienen varias indicaciones de contenido corporal que incluyen el documento que parece discutir los requisitos instituidos por el Jefe del Estado Mayor, la organización de vigilancia de medios de la Organización No Gubernamental (ONG) y algunas de las otras afirmaciones falsas para engañar víctimas para llamar la atención.
Estos documentos maliciosos aparecen en correos electrónicos de phishing que contienen un archivo adjunto malicioso que no contiene macros de VBA, en su lugar, los atacantes utilizan la técnica de inyección de plantillas para descargar una plantilla de documento (.dot) desde una ubicación remota.

El archivo de plantilla descargado contiene macros VBA, que se ejecutan automáticamente en segundo plano.

La macro de VBA escribe un archivo VBScript en la carpeta de inicio para que se ejecute al inicio e intenta cambiar el registro que deshabilita las advertencias de seguridad de Macro en el futuro.

Según la investigación de Anomali , «un archivo solo se enviará si el actor determina que el objetivo ahora infectado es digno de una carga útil de segunda etapa, de lo contrario, la eliminación del archivo continúa en su ciclo para eliminar la evidencia de la actividad del actor».

«Las capacidades cibernéticas patrocinadas por Rusia han sido bien documentadas en numerosas campañas maliciosas encontradas y atribuidas por la comunidad de seguridad, y esta actividad observada por ATR indica el riesgo que representan para las entidades los grupos de amenazas APT».

Las actividades del grupo de hackers de APT evolucionan continuamente en general. Recientemente tabién se registraron actividades de los grupos Lazarus y OceanLotus.

Fuente: gbhackers.com

Comments are closed.