Los investigadores de ciberseguridad han descubierto una operación dirigida contra Ucrania que ha estado aprovechando una falla en Microsoft Office de casi siete años de antigüedad para entregar Cobalt Strike en sistemas comprometidos.
La cadena de ataque, que tuvo lugar a finales de 2023 según Deep Instinct, emplea un archivo de presentación de PowerPoint (“signal-2023-12-20-160512.ppsx”) como punto de partida, con el nombre de archivo sugiriendo que pudo haber sido compartido a través de la aplicación de mensajería instantánea Signal.
A pesar de esto, no hay evidencia real que indique que el archivo PPSX fue distribuido de esta manera, aunque el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha descubierto dos campañas diferentes que han utilizado la aplicación de mensajería como un vector de entrega de malware en el pasado.
La semana pasada, la agencia divulgó que las fuerzas armadas ucranianas son cada vez más objeto de ataques por parte del grupo UAC-0184 a través de plataformas de mensajería y citas para servir como malware como HijackLoader (también conocido como GHOSTPULSE y SHADOWLADDER), XWorm, y Remcos RAT, así como programas de código abierto como sigtop y tusc para extraer datos de computadoras.
“El archivo PPSX (presentación de PowerPoint) parece ser un antiguo manual de instrucciones del ejército de EE. UU. para cuchillas de desminado de tanques (MCB),” dijo el investigador de seguridad Ivan Kosarev dijo. “El archivo PPSX incluye una relación remota con un objeto OLE externo.”
Esto implica la explotación de CVE-2017-8570 (puntuación CVSS: 7.8), una vulnerabilidad de ejecución remota de código parcheada en Office que podría permitir que un atacante realice acciones arbitrarias al convencer a una víctima de abrir un archivo especialmente diseñado, para cargar un script remoto alojado en weavesilk[.]space.
El script altamente ofuscado posteriormente lanza un archivo HTML que contiene código JavaScript, que a su vez establece persistencia en el host a través del Registro de Windows y descarga una carga útil de próxima etapa que se hace pasar por el cliente VPN Cisco AnyConnect.
La carga útil incluye una biblioteca de vínculos dinámicos (DLL) que finalmente inyecta un Cobalt Strike Beacon crackeado, una herramienta legítima de penetración en pruebas, directamente en la memoria del sistema y espera instrucciones adicionales de un servidor de comando y control (C2) (“petapixel[.]fun”).
La DLL también incluye funciones para verificar si se está ejecutando en una máquina virtual y evadir la detección por parte de software de seguridad.
Deep Instinct dijo que no podía vincular los ataques a un actor o grupo de amenazas específico ni descartar la posibilidad de un ejercicio de red teaming. Tampoco está claro cuál es el objetivo final exacto de la intrusión.
“El señuelo contenía contenido relacionado con asuntos militares, lo que sugiere que estaba dirigido a personal militar,” dijo Kosarev.
“Pero los nombres de dominio weavesilk[.]space y petapixel[.]fun están disfrazados como un sitio de arte generativo oscuro (weavesilk[.]com) y un sitio popular de fotografía (petapixel[.]com). Estos son independientes, y es un poco desconcertante por qué un atacante usaría específicamente estos para engañar a personal militar.”
Sandworm apunta a infraestructuras críticas en Ucrania
La divulgación se produce cuando CERT-UA reveló que alrededor de 20 proveedores de energía, agua y calefacción en Ucrania han sido atacados por un grupo patrocinado por el estado ruso llamado UAC-0133, un subgrupo dentro de Sandworm (también conocido como APT44, FROZENBARENTS, Seashell Blizzard, UAC-0002 y Voodoo Bear), que es responsable de la mayoría de todas las operaciones disruptivas y destructivas contra el país.
Los ataques, que tenían como objetivo sabotear operaciones críticas, involucran el uso de malware como Kapeka (también conocido como ICYWELL, KnuckleTouch, QUEUESEED y wrongsens) y su variante de Linux BIASBOAT, además de GOSSIPFLOW y LOADGRIP.
Mientras que GOSSIPFLOW es un proxy SOCKS5 basado en Golang, LOADGRIP es un binario ELF escrito en C que se utiliza para cargar BIASBOAT en hosts de Linux comprometidos.
Sandworm es un grupo de amenazas prolífico y altamente adaptable vinculado a la Unidad 74455 dentro de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU). Se sabe que está activo desde al menos 2009, y el adversario también está vinculado a tres personajes hacktivistas de hackeo y filtración como XakNet Team, CyberArmyofRussia_Reborn, y Solntsepek.
“Patrocinado por inteligencia militar rusa, APT44 es un actor de amenazas dinámico y operativamente maduro que está activamente involucrado en el espectro completo de espionaje, ataque y operaciones de influencia,” Mandiant dijo, describiendo al grupo de amenazas persistentes avanzadas (APT) como comprometido en un esfuerzo multipronge para ayudar a Rusia a obtener una ventaja en tiempos de guerra desde enero de 2022.
“Las operaciones de APT44 tienen un alcance global y reflejan los amplios intereses nacionales y ambiciones de Rusia. Los patrones de actividad a lo largo del tiempo indican que APT44 tiene diferentes prioridades estratégicas y es muy probable que el Kremlin lo vea como un instrumento flexible de poder capaz de servir a requisitos de inteligencia tanto duraderos como emergentes.”