Home Ciberguerra Ciberdelincuentes militares rusos, atacan a Ucrania con el nuevo malware MASEPIE

Ciberdelincuentes militares rusos, atacan a Ucrania con el nuevo malware MASEPIE

El Equipo de Respuesta a Emergencias Informáticas (CERT) de Ucrania advierte sobre una nueva campaña de phishing que permitió a piratas informáticos vinculados a Rusia implementar malware nunca antes visto en una red en menos de una hora.

APT28, también conocido como Fancy Bear o Strontium, es un actor de amenazas patrocinado por el estado ruso conocido por atacar a entidades gubernamentales, empresas, universidades, institutos de investigación y grupos de expertos en países occidentales y organizaciones de la OTAN. Se sabe que el grupo de hackers emplea campañas de phishing y explota vulnerabilidades de día cero en software ampliamente utilizado.

La última campaña dirigida a Ucrania tuvo lugar entre el 15 y el 25 de diciembre de 2023, utilizando correos electrónicos de phishing que instaban a los destinatarios a hacer clic en un enlace supuestamente para ver un documento importante.

Los enlaces redirigen a las víctimas a recursos web maliciosos que emplean JavaScript para colocar un archivo de acceso directo de Windows (LNK) que lanza comandos de PowerShell para desencadenar una cadena de infección para un nuevo descargador de malware Python llamado ‘MASEPIE’.

MASEPIE establece persistencia en el dispositivo infectado modificando el Registro de Windows y agregando un archivo LNK con un nombre engañoso (‘SystemUpdate.lnk’) a la carpeta de inicio de Windows.

CERT-UA dice que la función principal del malware es descargar malware adicional en el dispositivo infectado y robar datos.

El CERT ucraniano dice que APT28 también utiliza un conjunto de scripts de PowerShell llamados ‘STEELHOOK’ para robar datos de navegadores web basados en Chrome, probablemente para extraer información confidencial como contraseñas, cookies de autenticación e historial de navegación.

Otra herramienta utilizada como parte del ataque es ‘OCEANMAP’, una puerta trasera de C# utilizada principalmente para ejecutar comandos codificados en base64 a través de cmd.exe.

OCEANMAP establece persistencia en el sistema creando un archivo .URL llamado ‘VMSearch.url’ en la carpeta de inicio de Windows.

OCEANMAP utiliza el Protocolo de acceso a mensajes de Internet (IMAP) como canal de control para recibir comandos discretamente que probablemente no generen alarmas, almacenándolos como borradores de correo electrónico que contienen el comando, el nombre de usuario y la versión del sistema operativo.

Después de ejecutar los comandos, OCEANMAP almacena los resultados en el directorio de la bandeja de entrada, lo que permite a APT28 recuperar sigilosamente los resultados y ajustar su ataque si es necesario.

Otras herramientas implementadas en los ataques para reconocimiento de red y movimiento lateral incluyen IMPACKET, una colección de clases de Python para trabajar con protocolos de red, y SMBEXEC, que permite la ejecución remota de comandos.

El CERT de Ucrania dice que estas herramientas se implementan en sistemas comprometidos dentro de una hora desde el compromiso inicial, lo que indica un ataque rápido y bien coordinado.