Advertencia: transferencia de datos en curso
Agrandar / Advertencia: transferencia de datos en curso

Imágenes de Yuri_Arcurs/Getty

Los investigadores dieron a conocer el martes un nuevo actor de amenazas que ha bombardeado a miles de organizaciones con un flujo casi interminable de mensajes maliciosos destinados a infectar sistemas con malware para robar datos durante los últimos cinco años.

TA2541, como la firma de seguridad Proofpoint ha denominado al grupo de piratería, ha estado activo desde al menos 2017, cuando los investigadores corporativos comenzaron a rastrearlos. El grupo utiliza Tácticas, Técnicas y Procedimientos, o TTP, relativamente rudimentarios, para apuntar a organizaciones en las industrias aeroespacial, de transporte, de fabricación y de defensa. Estos TTP implican el uso de enlaces maliciosos de Google Drive que intentan engañar a los objetivos para que instalen troyanos comerciales.

tenacidad y perseverancia

Pero lo que le falta al grupo en sofisticación lo compensan con una tenacidad y persistencia que les permite prosperar. Desde que Proofpoint comenzó a rastrear al grupo hace cinco años, ha llevado a cabo una serie casi interminable de campañas de malware, por lo general entregando de cientos a miles de mensajes a la vez. Una sola campaña puede afectar a cientos de organizaciones en todo el mundo, con un enfoque en América del Norte, Europa y Medio Oriente.

«Las campañas a menudo incluían de cientos a miles de mensajes de correo electrónico a docenas de organizaciones diferentes», escribieron los investigadores de la compañía Selena Larson y Joe Wise en un informe publicado el martes. «Aunque Proofpoint ha observado que TA2541 se dirige a miles de organizaciones, varias empresas de las industrias aeroespacial, aeroespacial, de transporte, de fabricación y de defensa aparecen regularmente como objetivos de sus campañas».

Investigadores de otras empresas, incluidos Talos Group de Cisco, Morphisec, microsoftMandiant et al también han publicado datos sobre una actividad similar.

En el informe del martes, Proofpoint detalló los TTP del grupo. Los investigadores de la compañía escribieron:

En campañas recientes, Proofpoint observó que este grupo usaba URL de Google Drive en correos electrónicos que generaban un archivo Visual Basic Script (VBS) ofuscado. Cuando se ejecuta, PowerShell extrae un ejecutable de un archivo de texto alojado en varias plataformas, como Pastetext, Sharetext y GitHub. El atacante ejecuta PowerShell en varios procesos de Windows y consulta el Instrumental de administración de Windows (WMI) en busca de productos de seguridad, como antivirus y software de firewall, e intenta deshabilitar las protecciones de seguridad integradas. El atacante recopila información del sistema antes de descargar la RAT al host.

La cadena de ataque se ve así:

punto de prueba

El grupo utiliza ocasionalmente Microsoft OneDrive para alojar los troyanos, que a lo largo de los años han incluido más de una docena de familias de malware disponibles para la venta en foros clandestinos de delincuencia o de forma gratuita en repositorios. Las familias incluyen AsyncRAT, NetWire, WSH RAT y Parallax. El malware permite que el grupo recopile información de las redes infectadas y obtenga acceso remoto a las computadoras infectadas. Más recientemente, TA2541 usó URL de DiscordApp y archivos adjuntos de correo electrónico para propagar código malicioso.

El grupo engaña a los troyanos para que logren persistencia, es decir, la capacidad de ejecutarse automáticamente cada vez que se enciende una computadora, usando uno de dos métodos. El primero es agregar el archivo VBS a la carpeta de inicio de una computadora. La segunda es crear tareas programadas y agregar entradas en el directorio de Windows. Los scripts de VBS se parecen a esto.

punto de prueba

Cuando se desofusca, el archivo apunta a la URL https://paste[.] ee/r/01f2w/0. A continuación se muestra un ejemplo de código de PowerShell utilizado en una campaña reciente:

punto de prueba

A pesar de la falta de sofisticación, el grupo debe tomarse en serio. El informe del martes enumera una variedad de dominios maliciosos, hash de malware y otros indicadores que se pueden usar para detectar intentos o intentos de intrusión en la red grupal. Los administradores que trabajan para empresas en cualquiera de las industrias objetivo deben verificar sus redes en busca de signos de infección, ya que Proofpoint no ve signos de que el grupo planee detener el ataque.

«TA2541 sigue siendo una amenaza persistente y activa de ciberdelincuencia, particularmente para las organizaciones en los sectores más comúnmente atacados», escribieron los investigadores de la compañía. “Proofpoint anticipa con gran confianza que este actor de amenazas continuará utilizando los mismos TTP observados en la actividad histórica con cambios mínimos en sus temas de señuelo, implementación e instalación. Es probable que TA2541 continúe usando AsyncRAT y vjw0rm en campañas futuras y probablemente use otro malware listo para usar para respaldar sus objetivos”.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí