el más reciente

― Advertisement ―

Relacionada

TikTok se apaga en los EE. UU. cuando la prohibición federal...

La popular red social para compartir vídeos TikTok dejará de funcionar oficialmente en los Estados Unidos en 2025, ya que la prohibición federal de...
spot_img
InicioTecnologíaMás del 80% de los objetivos encontrados en Rusia

Más del 80% de los objetivos encontrados en Rusia

El actor de amenazas conocido como Atlas de nubes Se ha observado que utiliza un malware previamente no documentado llamado VBCloud como parte de sus campañas de ciberataques dirigidas a «varias docenas de usuarios» en 2024.

«Las víctimas se infectan a través de correos electrónicos de phishing que contienen un documento ladino que aprovecha una vulnerabilidad en el editor de fórmulas (CVE-2018-0802) para descargar y ejecutar código ladino», dijo el investigador de Kaspersky Oleg Kupreev en un descomposición publicado esta semana.

Más del 80% de los objetivos estaban ubicados en Rusia. Se ha informado de un número último de víctimas en Bielorrusia, Canadá, Moldavia, Israel, Kirguistán, Turquía y Vietnam.

Cloud Atlas, todavía conocido como Clean Ursa, Inception, Oxygen y Red October, es un comunidad de actividad de amenazas no atribuido que ha estado activo desde 2014. En diciembre de 2022, el comunidad estuvo vinculado a ataques cibernéticos dirigidos a Rusia, Bielorrusia y Transnistria que implementó una puerta trasera basada en PowerShell citación PowerShower.

Luego, exactamente un año posteriormente, la empresa rusa de ciberseguridad FACCT reveló que varias entidades del país fueron blanco de ataques de phishing que explotaban una antigua equivocación del editor de ecuaciones de Microsoft Office (CVE-2017-11882) para eliminar una carga útil de Visual Basic Script (VBS). responsable de descargar un malware VBS desconocido de próxima etapa.

El final noticia de Kaspersky revela que estos componentes son parte de lo que apasionamiento VBShower, que luego se utiliza para descargar e instalar PowerShower y VBCloud.

El punto de partida de la dependencia de ataque es un correo electrónico de phishing que contiene un documento de Microsoft Office con trampa explosiva que, cuando se abre, descarga una plantilla maliciosa formateada como un archivo RTF desde un servidor remoto. Luego abusa de CVE-2018-0802, otra equivocación en el Editor de ecuaciones, para despabilarse y ejecutar un archivo de aplicación HTML (HTA) alojado en el mismo servidor.

Leer  La IA podría generar 10.000 variantes de malware y evadir la detección en el 88% de los casos

«El exploit descarga el archivo HTA a través de la plantilla RTF y lo ejecuta», dijo Kupreev. «Aprovecha la función de flujos de datos alternativos (NTFS ADS) para extraer y crear varios archivos en %APPDATA%RoamingMicrosoftWindows. Estos archivos constituyen la puerta trasera VBShower».

Esto incluye un iniciador, que actúa como un cargador extrayendo y ejecutando el módulo de puerta trasera en la memoria. El otro VB Script es un detergente que se preocupa por borrar el contenido de todos los archivos adentro de la carpeta «LocalMicrosoftWindowsTemporary Internet FilesContent.Word», encima de los que están adentro de sí mismo y del iniciador, cubriendo así evidencia de la actividad maliciosa.

La puerta trasera VBShower está diseñada para recuperar más cargas enseres de VBS del servidor de comando y control (C2) que viene con capacidades para reiniciar el sistema; compendiar información sobre archivos en varias carpetas, nombres de procesos en ejecución y tareas del programador; e instale PowerShower y VBCloud.

PowerShower es análogo a VBShower en funcionalidad, la principal diferencia es que descarga y ejecuta scripts de PowerShell de la subsiguiente etapa desde el servidor C2. Además está equipado para servir como descargador de archivos ZIP.

Kaspersky ha observado hasta siete cargas enseres de PowerShell. Cada uno de ellos lleva a sitio una tarea distinta de la subsiguiente modo:

  • Obtenga una repertorio de grupos locales y sus miembros en computadoras remotas a través de interfaces de servicio de Active Directory (ADSI)
  • Realizar ataques de diccionario a cuentas de beneficiario
  • Desempaquete el archivo ZIP descargado por PowerShower y ejecute un script de PowerShell que contiene para padecer a sitio un ataque Kerberoasting, que es una técnica posterior a la explotación para obtener credenciales para cuentas de Active Directory.
  • Obtener una repertorio de grupos de administradores
  • Obtenga una repertorio de controladores de dominio
  • Obtener información sobre archivos adentro de la carpeta ProgramData
  • Obtenga la configuración de la política de cuenta y la política de contraseña en la computadora lugar
Leer  El colapso de Rockstar2FA impulsa la expansión del phishing como servicio FlowerStorm

VBCloud todavía funciona de modo muy similar a VBShower, pero utiliza un servicio de almacenamiento en la cirro pública para las comunicaciones C2. Se activa mediante una tarea programada cada vez que un beneficiario víctima inicia sesión en el sistema.

El malware está equipado para compendiar información sobre discos (símbolo de pelotón, tipo de pelotón, tipo de medio, tamaño y espacio atrevido), metadatos del sistema, archivos y documentos que coincidan con las extensiones DOC, DOCX, XLS, XLSX, PDF, TXT, RTF y RAR. y archivos relacionados con la aplicación de transporte Telegram.

«PowerShower sondea la red lugar y facilita una longevo infiltración, mientras que VBCloud recopila información sobre el sistema y roba archivos», dijo Kupreev. «La dependencia de infección consta de varias etapas y, en última instancia, tiene como objetivo robar datos de los dispositivos de las víctimas».

El más popular

spot_img