Sharpshooter: Campaña de ciberataques contra infraestructura crítica en E.U. y América Latina



Expertos han descubierto una campaña de ciberataques contra decenas de organizaciones dedicadas a la defensa



Especialistas en forense digital del Instituto Internacional de Seguridad Cibernética reportan la aparición de una campaña de hacking dirigida contra empresas de infraestructura alrededor del mundo. Los hackers detrás de esta campaña, conocida como Operación Sharpshooter, se encuentran desplegando malware asociado al grupo de hackers Lazarus, misma organización detrás de los ciberataques contra Sony en 2014.


Los expertos en forense digital y ciberseguridad que descubrieron esta campaña creen que los actores maliciosos podrían estar reuniendo información referente a las actividades de inteligencia en múltiples países con el propósito de planificar futuros ciberataques contra compañías nucleares, energéticas, financieras y de defensa.


Acorde a los especialistas, durante esta operación los hackers aprovechan un implante en la memoria para descargar y recuperar un implante de segunda etapa para su posterior explotación. “Durante octubre y noviembre pasados comenzó a aparecer el implante Rising Sun en organizaciones de todo el mundo, principalmente en E.U. y América Latina”, mencionan los expertos en su análisis.


“Al igual que otras campañas de ciberataques similares, en la Operación Sharpshooter se atacan a organizaciones de habla inglesa o que cuentan con oficinas regionales en inglés. Los operadores de esta campaña se han dedicado a recopilar información sobre personas de interés o sobre organizaciones que administran datos relevantes”.


Estos atacantes se encuentran llevando a cabo múltiples ataques de phishing, enviando un enlace que redirige a las víctimas a un archivo de Word infectado, supuestamente enviado por un reclutador de factor humano. El mensaje que las víctimas reciben está redactado en inglés y en él se describen puestos de trabajo en empresas inexistentes. Las URL adjuntas al documento están asociadas a una dirección IP ubicada en E.U. y a la plataforma de administración de documentos Dropbox.

También te puede interesar:  Dorks de carding para inyección SQL


Las macros incluidas en el documento malicioso utilizan un código de shell incorporado para inyectar el software de descarga Sharpshooter en la memoria de Word. Acorde a expertos en forense digital, las macros actúan como un programa de descarga de Rising Sun, el implante de segunda etapa que se ejecuta en la memoria y recopila información sobre la máquina de la víctima. Rising Sun incluye decenas de funciones de backdoor, incluyendo capacidades para finalizar procesos y sobrescribir archivos en el disco.

El binario se descarga en la carpeta de inicio para ganar persistencia en el sistema infectado. Los expertos observaron que los operadores de la campaña también descargan un segundo documento de Word desde el servidor de control, el cual creen es usado como carnada para ocultar el programa malicioso.

Los expertos señalaron que Rising Sun utiliza el código fuente de Trojan Duuzer, el backdoor que el grupo de hackers Lazarus utilizó en los ataques contra la empresa Sony Pictures. Además, los expertos Los expertos encontraron otras similitudes con la campaña de ataques contra Sony, por ejemplo, los documentos utilizados para distribuir la carga Rising Sun contienen metadatos que indican que fue creado utilizando una versión coreana de Word. Finalmente, los especialistas consideran que los operadores de la Operación Sharpshooter también podrían estar dejando rastros falsos para dificultar las labores de las agencias policiacas.




Fuente: https://noticiasseguridad.com/

Compartir...


No olvides seguirnos en twitter: @disoftin
Compartir en Google Plus

Acerca de Fredy Avila

Ingeniero de Sistemas, CEH, ECSA.
Twitter personal: @fredyavila
Twitter blog:@disoftin

0 comentarios:

Publicar un comentario