NUEVA CAMPAÑA DEL GRUPO UNC4166

17/12/2022

BOLETÍN NRO 2022-736

Entidades gubernamentales de Ucrania han sido atacadas como parte de una nueva campaña que utiliza versiones troyanizadas de archivos de instalación de Windows 10 para llevar a cabo la obtención de información sensible.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Analistas de seguridad indicaron que los archivos ISO maliciosos se distribuyeron a través de sitios web Torrent en ucraniano y ruso, además se encontro rastros del grupo UNC4166.

Tras la instalación del software infectado, el malware recopila información sobre el sistema infectado y la extrae. Aunque se desconoce la procedencia del grupo de ciberdelincuentes, se dice que las intrusiones se han dirigido a organizaciones que anteriormente fueron víctimas de ataques wiper disruptivos atribuidos a APT28, un grupo patrocinado por el Estado Ruso.

Según la empresa de inteligencia sobre amenazas, el archivo ISO estaba diseñado para desactivar la transmisión de datos telemétricos del ordenador infectado a Microsoft, instalar backdoor de PowerShell y bloquear las actualizaciones automáticas y la verificación de licencias.

El objetivo principal de la operación parece haber sido la recopilación de información, con implantes adicionales desplegados en los dispositivos vulnerados, pero solo después de realizar un reconocimiento inicial del entorno comprometido para determinar si contiene información de valor.

Entre ellos se encontraban Stowaway, una herramienta proxy de código abierto, Cobalt Strike Beacon y SPAREPART, un backdoor programado en C, que permitía al atacante ejecutar comandos, recopilar datos, capturar pulsaciones de teclas, capturas de pantalla y exportar la información a un servidor remoto.

En algunos casos, el atacante intentó descargar el navegador anónimo TOR en el dispositivo de la víctima. Aunque el motivo exacto de esta acción no está claro, se sospecha que puede haber servido como ruta de exfiltración de datos alternativa.

SPAREPART, como su nombre indica, se considera un malware redundante desplegado para mantener el acceso remoto al sistema en caso de que fallen los otros métodos. También es funcionalmente idéntico a las backdoors de PowerShell lanzadas al principio de la cadena de ataque. El uso de ISO troyanizadas es novedoso en las operaciones de espionaje y las capacidades de antidetección incluidas indican que los ciberdelincuentes detrás de esta actividad son conscientes de la seguridad y pacientes, ya que la operación habría requerido un tiempo y recursos significativos para desarrollar y esperar a que la ISO se instalara en una red de interés.

Indicadores de Compromiso

IP

91[.]205[.]230[.]66

93[.]142[.]30[.]166

Dominio

torprojects[.]org

rutracker[.]net

onion[.]ws

onion[.]moe

cdnworld[.]org

URL

hxxps[:]//ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion[.]ws

hxxps[:]//ufowdauczwpa4enmzj2yyf7m4cbsjcaxxoyeebc2wdgzwnhvwhjf7iid[.]onion[.]moe

hxxps[:]//rutracker[.]net/forum/viewtopic[.]php?t=6271208

hxxps[:]//cdnworld[.]org/34192–general-feedback/suggestions/35703616-cdn–

hxxp[:]//91[.]205[.]230[.]66[:]8443

hxxp[:]//193[.]142[.]30[.]166[:]443

Hash

MD5: a0d668eec4aebaddece795addda5420d

SHA-256: c0d7feb794cdb8c8a083d7cc7286c2818bf7d8317efed90c18c27bd01b1ce692

MD5: 66da9976c96803996fc5465decf87630

SHA-256: 114d5a4b2915d940bdc913287a2e54ed8aef79bce092c370b1c849842045369c

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Considerar deshabilitar PowerShell o monitorear su ejecución, evitando que pueda ser aprovechado por softwares maliciosos.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Trojanized Windows 10 Installer Used in Cyberattacks Against Ukrainian Government Entities
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​