Organizaciones ucranianas advirtieron sobre intentos de piratería utilizando el malware CredoMap, balizas Cobalt Strike

Las organizaciones ucranianas han sido objeto de nuevos intentos de piratería diseñados para colocar malware y balizas maliciosas de Cobalt Strike en sus redes. El 20 de junio, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) publicó dos avisos sobre los incidentes de piratería, sospechosos de ser obra de los grupos de amenazas APT28, también conocido como Fancy Bear, y UAC-0098. Seguridad Ciberseguridad 101: Proteja su privacidad de piratas informáticos, espías y el gobierno Unos simples pasos pueden marcar la diferencia entre perder sus cuentas en línea o mantener lo que ahora es un bien preciado: su privacidad.
Leer ahora La campaña de phishing, realizada por la amenaza persistente avanzada rusa (APT) APT28, intenta difundir un documento malicioso titulado "Terrorismo nuclear: una amenaza muy real". Se sospecha que la distribución se llevó a cabo el 10 de junio. VER: Ataques de ransomware: estos son los datos que los ciberdelincuentes realmente quieren robar Los intentos de piratería de UAC-0098 también comienzan con un correo electrónico malicioso.
Los mensajes de phishing tienen un documento de malware adjunto, "Imposición de sanciones.docx", y su distribución se ha descrito como "persistente" con una fecha de compilación original del 16 de junio. . Este documento también se difunde a través de un archivo protegido con contraseña, que se hizo pasar de manera fraudulenta como una comunicación de la oficina de impuestos de Ucrania, con el asunto: "Aviso de impago de impuestos.
" Cuando se abren, ambos documentos descargan automáticamente un archivo HTML que inicia un código JavaScript malicioso que contiene un exploit para CVE-2022-30190. Con una puntuación de gravedad CVSS de 7,8, CVE-2022-30190 es una vulnerabilidad de ejecución remota de código (RCE) en la herramienta de diagnóstico de soporte de Microsoft Windows (MSDT).
La vulnerabilidad, parcheada pero explotada en la naturaleza, surgió por primera vez como falla de día cero en mayo. Si el sistema de destino no ha sido protegido, las víctimas de los ataques de Fancy Bear encontrarán sus sistemas infectados con el malware CredoMap. Según Malwarebytes, CredoMap es un ladrón de información capaz de extraer datos del navegador, cookies y credenciales de cuentas.
APT28 ha utilizado variantes más antiguas del malware contra objetivos ucranianos. Sin embargo, el documento relacionado con los impuestos despliega balizas Cobalt Strike. Cobalt Strike es una herramienta de prueba de penetración comercial legítima que, lamentablemente, ha sido abusada con fines maliciosos por ciberatacantes durante muchos años.
La función de baliza de la herramienta puede facilitar las conexiones remotas y puede usarse para la implementación de shellcode y malware. . Desde que comenzó la invasión rusa de Ucrania, CERT-UA ha centrado su atención en advertir contra las amenazas cibernéticas que afectan tanto a las empresas como a los residentes ucranianos. Muchas campañas están tratando de aprovechar la situación, ya sea en nombre del estado ruso o simplemente como atacantes comunes y corrientes que intentan obtener ganancias.
VER: Seguridad informática en la nube: cinco cosas que probablemente esté haciendo mal La agencia ha advertido previamente a las organizaciones sobre las campañas de phishing de Ghostwriter, las actividades de Invisimole vinculadas a la APT rusa Gamaredon y los frecuentes esquemas de desinformación dirigidos a los residentes de Ucrania. CERT-UA también ha alertado a las agencias de medios ucranianas sobre campañas de phishing, potencialmente realizadas por el grupo de hackers ruso Sandworm, con la intención de propagar el malware CrescentImp. ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0 Seguridad Cómo cifrar su correo electrónico (y por qué debería hacerlo) 5 cosas que probablemente esté haciendo mal para proteger su nube Cómo detener rápidamente los mensajes de spam en tu iPhone Las mejores VPN para Android: ¿cuál es la adecuada para ti? Cómo borrarse de los resultados de búsqueda y ocultar su identidad en línea.