El equipo de respuesta a emergencias informáticas de Ucrania (CERT-UA) ha advertido recientemente de una campaña de espionaje cibernético dirigida a organismos estatales del país. El amenazante, identificado como UAC-0063 desde 2021, se cree que está detrás del ataque que utiliza cebos de phishing para desplegar herramientas maliciosas en sistemas infectados.
Los correos electrónicos, enviados desde un buzón previamente comprometido, se disfrazan como si provenieran de la Embajada de Tayikistán en Ucrania y vienen adjuntos con un documento de Microsoft Word con un script de codificación VBScript llamado HATVIBE. Este script se utiliza para descargar malware adicional, como un keylogger (LOGPIE), un backdoor basado en Python (CHERRYSPY) y una herramienta para exfiltrar archivos específicos (STILLARCH o DownEx).
Cabe destacar que DownEx ha sido documentado por Bitdefender como siendo utilizado en ataques altamente dirigidos a entidades gubernamentales de Kazajistán y Afganistán. Los orígenes del equipo de hacking siguen siendo desconocidos, sin embargo, CERT-UA sugiere que el grupo está dirigiendo sus ataques a organizaciones de Mongolia, Kazajistán, Kirguistán, Israel e India.
Dado que Microsoft deshabilitó la función de forma predeterminada en archivos de Office descargados desde la web, algunos amenazantes han comenzado a experimentar y adaptar sus cadenas de ataque y mecanismos de entrega de carga útil para incluir tipos de archivos poco comunes (CHM, ISO, LNK, VHD, XLL y WSF) y técnicas como el contrabando de HTML.
Proofpoint observó múltiples brokers de acceso inicial (IABs) que utilizaban archivos PDF y OneNote desde diciembre de 2022, lo que indica una tasa de cambio rápida para muchos amenazantes. Esto sugiere que tienen la capacidad de desarrollar y ejecutar rápidamente nuevas técnicas y ya no se basan en una o pocas técnicas.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.