Las empresas rusas han sido atacadas como parte de una campaña de phishing a gran escalera que está diseñada para entregar un malware conocido llamado Darkwatchman.
Los objetivos de los ataques incluyen entidades en los medios de comunicación, turismo, finanzas y seguros, fabricación, traspaso minorista, energía, telecomunicaciones, transporte y sectores de biotecnología, dijo la compañía de seguridad cibernética rusa F6.
Se evalúa que la actividad es el trabajo de un categoría motivado financieramente llamado Hive0117, que ha sido atribuido por IBM X-Force a ataques dirigidos a usuarios en Lituania, Estonia y Rusia que abarcan sectores de telecomunicaciones, electrónicos e industriales.
Luego, en septiembre de 2023, el malware Darkwatchman se usó nuevamente en una campaña de phishing dirigida a las industrias de energía, finanzas, transporte y seguridad de software con sede en Rusia, Kazajstán, Letonia y Estonia.
Los bancos rusos, minoristas y mercados, operadores de telecomunicaciones, empresas agroindustriales, compañías de combustible y energía, negocios de transporte y empresas de TI fueron marcados nuevamente en noviembre de 2023 con Darkwatchman utilizando señuelos con temas de entrega de transporte.
Darkwatchman, un troyano de acercamiento remoto basado en JavaScript, es capaz de keylogging, resumir información del sistema e implementar cargas bártulos secundarias. Fue documentado por primera vez en diciembre de 2021.
“La naturaleza sin archivo del malware Darkwatchman, y su uso de JavaScript y un keylogger escrito en C#, así como la capacidad de eliminar trazas de su existencia en sistemas comprometidos cuando se les indica, son evidencia de capacidades poco sofisticadas”, señaló IBM en 2023.
El postrero conjunto de ataques implica destinar correos electrónicos de phishing que contienen archivos maliciosos protegidos por contraseña que, una vez abiertos, ofrecen una variable de Darkwatchman con capacidades mejoradas para sortear la detección.
Ucrania atacada por el nuevo sheriff Backdoor
La divulgación se produce cuando IBM X-Force dijo que una entidad no especificada internamente del sector de defensa de Ucrania fue atacada en la primera fracción de 2024 con un trasero de Windows previamente indocumentado llamado Alguacil.
“El actor de amenaza utilizó un portal de parte popular en Ucrania, UKR.NET, para organizar la puerta trasera del Sheriff”, dijo el investigador de seguridad Golo Mühr en un referencia publicado a fines de marzo de 2025. “La puerta trasera modular puede ejecutar comandos dirigidos por el actor, resumir capturas de pantalla y exfiltrado de datos de víctimas de víctimas utilizando el API de almacenamiento de la nubarrón de caída”. “.
“El malware se centra en exfiltrar datos y tomar capturas de pantalla mientras mantiene un perfil bajo diseñado para compromisos prolongados”.
Se sospecha que el sitio web puede suceder sido violado para organizar el malware a principios de marzo de 2024. El sheriff está equipado para descargar y ordenar múltiples componentes, incluido un módulo de captura de pantalla, con comandos y títulos de configuración recibidos como comentarios de archivo zip.
“El acercamiento de un actor de amenaza al portal de parte más amplio de Ucrania los posicionaría para realizar una variedad de ataques de suspensión impacto y especular con una ofuscación mejorada”, dijo Mühr. “En este incidente específico, el actor de amenaza puede suceder abusado del dominio de confianza para organizar malware sin sugerir sospechas”.
La puerta trasera todavía viene equipada con una función de “suicidio” que, cuando se invoca de forma remota por el cámara, cesa toda la actividad y elimina el directorio que contiene el malware y la carpeta en Dropbox utilizada para las comunicaciones de comando y control (C2).
IBM señaló que ciertos aspectos del malware se superponen con el del kazuar y la ayuda de Turla, así como Prikormka de la Operación Groundbait y Cloudwizard de Bad Magic.
“Tanto Cloudwizard como Sheriff contienen una función ‘getSettings” https://thehackernews.com/ “get_settings’ para recuperar la configuración de cada módulo”, dijo la compañía. “Cloudwizard, Prikormka y Sheriff comparten las mismas capturas de pantalla tomando intervalos de 15 minutos. Los módulos de lista de archivos de Cloudwizard y Prikormka se llaman ‘árbol’, que es el nombre que Sheriff usa para la exfiltración de una índice de archivos”.
El descubrimiento de la puerta trasera sigue un referencia del Servicio Estatal de Ucrania para Comunicaciones Especiales y Protección de la Información (SSSCIP), advertencia de un aumento del 48% en el número de incidentes en la segunda fracción de 2024 (2,576), en comparación con el período susodicho de seis meses (1,739).
En total, se registraron 4.315 incidentes cibernéticos en 2024, frente a 1.350 en 2021, 2,194 en 2022 y 2,543 en 2023. El número de incidentes críticos y de ingreso severidad, por otro flanco, cayó significativamente a 59, a una disminución de 1,048 en 2022 y 367 en 2023.
“Los piratas informáticos rusos están implementando activamente la automatización, empleando ataques de dependencia de suministro para la infiltración a través de proveedores de software y combinando técnicas de espionaje y boicot”, dijo SSSCIP. “El enfoque principal de los ataques es la colección de inteligencia que podría influir en la situación operativa en el frente. En particular, el adversario está apuntando a sistemas de conciencia situacionales y empresas de defensa especializadas”.
