martes, 4 de septiembre de 2018

APT usa Spear Phishing en una nueva campaña


Según un informe publicado hoy por NETSCOUT Arbor, un grupo de APT (del inglés Advanced Persistent Threat), amenazas avanzadas y persistentes, activo desde al menos el año 2016 y sospechoso de explotar múltiples ataques en todo el mundo, apunta a instituciones en Europa y Rusia.

El 13 de agosto, el equipo ASERT de NETSCOUT, este grupo realiza investigación y análisis de seguridad de red en todo el mundo, identificó una nueva actividad de campaña de spear-phishing del grupo de piratería Cobalt con intereses económicos fraudulentos. Dado que los mensajes parecen provenir de una fuente fiable, muchos usuarios son víctimas de este tipo de campañas en las que los actores malintencionados se disfrazan como instituciones financieras reales.

Los mensajes de suplantación de identidad utilizados para obtener acceso se ven como si provinieran de un proveedor financiero o de dominios asociados, lo que aumenta la probabilidad de infección. Además, el grupo usa herramientas que les permiten eludir las defensas de Windows.

NS Bank en Rusia y Banca Comercial de los Cárpatos en Rumania fueron los dos objetivos de phishing encontrados en los que en uno de los correos electrónicos de phishing fueron halladas dos URL maliciosas.

El primero contenía un documento malicioso de Word que ofuscaba los scripts de VBA (Visual Basic for Applications), que según los investigadores difería de los conocidos CVE, esto es una lista de entradas, cada una con un número de identificación, una descripción y al menos una referencia pública, para las vulnerabilidades de ciberseguridad públicamente conocidas.

La segunda arma era un archivo binario con una extensión JPEG. Los investigadores analizaron los binarios y descubrieron que contenían "dos únicos servidores C2 que creemos que pertenecen y son operados por Cobalt hacking Group".

Estas dos muestras de malware sugieren que las campañas están conectadas con Cobalt Group. El análisis mostró que una puerta trasera JavaScript, que se cree que es un stager, responsable de descargar cargas adicionales, que contenía una funcionalidad similar a otra versión de una puerta trasera similar.

"Estos elementos creados por el Grupo Cobalt imitan a las entidades financieras, sus proveedores o socios para tener un punto de apoyo en la red del objetivo. Hacer uso de puntos de infección por separado en un correo electrónico con dos C2 por separado hace que este correo electrónico sea peculiar ", escribieron los investigadores.

"Se podría especular que esto aumentaría las probabilidades de infección. El malware trata de ocultar la infección usando regsvr32.exe y cmstp.exe, que son conocidos por pasar por alto AppLocker (depende de la configuración) ", continuaron.

"ASERT cree que Cobalt Group continuará apuntando a las organizaciones financieras en Europa del Este y Rusia por lo observado en esta campaña y su modus operandi habitual".

No hay comentarios:

Publicar un comentario