Grupos de hackers prorrusos han explotado una vulnerabilidad de seguridad recientemente revelada en la utilidad de archivo WinRAR como parte de una campaña de phishing diseñada para recolectar credenciales de sistemas comprometidos.
«El ataque implica el uso de archivos maliciosos que explotan la vulnerabilidad recientemente descubierta que afecta a las versiones del software de compresión WinRAR anteriores a la 6.23 y rastreadas como CVE-2023-38831», dijo Cluster25 en un informe publicado la semana pasada.
El archivo contiene un archivo PDF con trampa explosiva que, al hacer clic en él, hace que se ejecute un script de Windows Batch, que inicia comandos de PowerShell para abrir un shell inverso que le da al atacante acceso remoto al host objetivo.
También se implementa un script de PowerShell que roba datos, incluidas las credenciales de inicio de sesión, de los navegadores Google Chrome y Microsoft Edge. La información capturada se extrae a través de un sitio de webhook[.]de servicio web legítimo.
CVE-2023-38831 hace referencia a una falla de alta gravedad en WinRAR que permite a los atacantes ejecutar código arbitrario al intentar ver un archivo benigno dentro de un archivo ZIP. Los hallazgos de Group-IB en agosto de 2023 revelaron que el error se había utilizado como arma de día cero desde abril de 2023 en ataques dirigidos a comerciantes.
El desarrollo se produce cuando Mandiant, propiedad de Google, registró las operaciones de phishing de «rápida evolución» del actor estado-nación ruso APT29 dirigidas a entidades diplomáticas en medio de un aumento en el ritmo y un énfasis en Ucrania en la primera mitad de 2023.
Los cambios sustanciales en las herramientas y el arte comercial de APT29 «probablemente estén diseñados para respaldar una mayor frecuencia y alcance de las operaciones y obstaculizar el análisis forense», dijo la compañía, y que ha «utilizado varias cadenas de infección simultáneamente en diferentes operaciones».
Algunos de los cambios notables incluyen el uso de sitios de WordPress comprometidos para alojar cargas útiles de la primera etapa, así como componentes adicionales de ofuscación y antianálisis.
AT29, que también se ha relacionado con la explotación centrada en la nube, es uno de los muchos grupos de actividades originados en Rusia que han señalado a Ucrania tras el inicio de la guerra a principios del año pasado.
En julio de 2023, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) implicó a Turla en ataques que implementaban el malware Capibar y la puerta trasera Kazuar para ataques de espionaje a activos defensivos ucranianos.
«El grupo Turla es un adversario persistente con una larga historia de actividades. Sus orígenes, tácticas y objetivos indican una operación bien financiada con agentes altamente calificados», reveló Trend Micro en un informe reciente . «Turla ha desarrollado continuamente sus herramientas y técnicas durante años y probablemente seguirá perfeccionándolas».
Las agencias de ciberseguridad ucranianas, en un informe del mes pasado, también revelaron que los actores de amenazas respaldados por el Kremlin apuntaron a entidades nacionales encargadas de hacer cumplir la ley para recopilar información sobre las investigaciones ucranianas sobre crímenes de guerra cometidos por soldados rusos.
«En 2023, los grupos más activos fueron UAC-0010 ( Gamaredon /FSB), UAC-0056 (GRU), UAC-0028 ( APT28 /GRU), UAC-0082 ( Sandworm / GRU ), UAC-0144 / UAC-0024 / UAC-0003 (Turla), UAC-0029 (APT29/ SVR), UAC-0109 ( Zarya ), UAC-0100, UAC-0106 ( XakNet ), [y] UAC-0107 ( CyberArmyofRussia ),» el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP) dijo .
CERT-UA registró 27 ciberataques «críticos» en el primer semestre de 2023, frente a 144 en el segundo semestre de 2022 y 319 en el primer semestre de 2022. En total, los ciberataques destructivos que afectaron a las operaciones cayeron de 518 a 267.
Fuente y redacción: thehackernews.com