Expertos han descubierto una campaña de ciberataques contra decenas de organizaciones dedicadas a la defensa
Especialistas en forense digital del
Instituto Internacional de Seguridad Cibernética reportan la aparición
de una campaña de hacking dirigida contra empresas de infraestructura
alrededor del mundo. Los hackers detrás de esta campaña, conocida como Operación Sharpshooter, se encuentran desplegando malware asociado al grupo de hackers Lazarus, misma organización detrás de los ciberataques contra Sony en 2014.
Los expertos en forense digital
y ciberseguridad que descubrieron esta campaña creen que los actores
maliciosos podrían estar reuniendo información referente a las
actividades de inteligencia en múltiples países con el propósito de
planificar futuros ciberataques contra compañías nucleares, energéticas,
financieras y de defensa.
Acorde a los especialistas, durante esta
operación los hackers aprovechan un implante en la memoria para
descargar y recuperar un implante de segunda etapa para su posterior
explotación. “Durante octubre y noviembre pasados comenzó a aparecer el
implante Rising Sun en organizaciones de todo el mundo, principalmente en E.U. y América Latina”, mencionan los expertos en su análisis.
“Al igual que otras campañas de
ciberataques similares, en la Operación Sharpshooter se atacan a
organizaciones de habla inglesa o que cuentan con oficinas regionales en
inglés. Los operadores de esta campaña se han dedicado a recopilar
información sobre personas de interés o sobre organizaciones que
administran datos relevantes”.
Estos atacantes se encuentran llevando a
cabo múltiples ataques de phishing, enviando un enlace que redirige a
las víctimas a un archivo de Word infectado, supuestamente enviado por
un reclutador de factor humano. El mensaje que las víctimas reciben está
redactado en inglés y en él se describen puestos de trabajo en empresas
inexistentes. Las URL adjuntas al documento están asociadas a una
dirección IP ubicada en E.U. y a la plataforma de administración de
documentos Dropbox.
También te puede interesar: Dorks de carding para inyección SQL
Las macros incluidas en el documento
malicioso utilizan un código de shell incorporado para inyectar el
software de descarga Sharpshooter en la memoria de Word. Acorde a
expertos en forense digital, las macros actúan como un programa de
descarga de Rising Sun, el implante de segunda etapa que se ejecuta en
la memoria y recopila información sobre la máquina de la víctima. Rising
Sun incluye decenas de funciones de backdoor, incluyendo capacidades
para finalizar procesos y sobrescribir archivos en el disco.
El binario se descarga en la carpeta de
inicio para ganar persistencia en el sistema infectado. Los expertos
observaron que los operadores de la campaña también descargan un segundo
documento de Word desde el servidor de control, el cual creen es usado
como carnada para ocultar el programa malicioso.
Los expertos señalaron que Rising Sun
utiliza el código fuente de Trojan Duuzer, el backdoor que el grupo de
hackers Lazarus utilizó en los ataques contra la empresa Sony Pictures.
Además, los expertos Los expertos encontraron otras similitudes con la
campaña de ataques contra Sony, por ejemplo, los documentos utilizados
para distribuir la carga Rising Sun contienen metadatos que indican que
fue creado utilizando una versión coreana de Word. Finalmente, los
especialistas consideran que los operadores de la Operación Sharpshooter
también podrían estar dejando rastros falsos para dificultar las
labores de las agencias policiacas.
Fuente: https://noticiasseguridad.com/
0 Comentarios