NUEVA CAMPAÑA DE PHISHING CONTRA ENTIDADES PAKISTANÍES

09/02/2023

BOLETÍN NRO 2023-086

Ciberdelincuentes denominados como “NewsPenguin”, han lanzado una nueva campaña de phishing relacionada con la exposición internacional marítima de Pakistán como engaño contra objetivos de ese país para ejecutar un nuevo malware con fines de ciberespionaje.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Los ciberdelincuentes utilizan documentos de Microsoft Office imitando un manual de expositor para la conferencia del PIMEC-23, diseñada contra objetivos de entidades marítimas pakistaníes y visitantes del evento. 

Cuando se abre el documento se activa una técnica llamada inyección remota de plantilla para utilizar un payload, que se encuentra en un servidor controlado por los ciberdelincuentes el cual se ejecuta solo si detecta la IP de origen es una perteneciente a Pakistán.

El malware tiene varias funcionalidades las cuales le permite eludir entornos sanbox y máquinas virtuales, revisando características del sistema como cantidad de memoria RAM, disco duro, etc. La computadora afectada recibe un identificador único por parte de los atacantes para llevar a cabo la comunicación con el servidor de C&C el cual envía los comandos maliciosos.

Este payload tiene como objetivo la extracción de información de los afectados con fines de ciberespionaje ya que los ciberdelincuentes utilizan herramientas no antes vistas, nueva infraestructura de red y un enfoque muy específico en entidades marítimas pakistaníes, sin embargo, resulta complicado atribuirlo por el momento a algún grupo de atacantes conocido.

Indicadores de Compromiso

IP

51[.]222[.]103[.]8

185[.]198[.]59[.]109

Dominio

windowsupdates[.]shop

updates.win32[.]live

Hash

MD5: fcae6b88640b58d289df42ae2d15e3ca

SHA-256: 80326b1e151e8348307114c8115e275c2fd63f0d2eb1dfacb6eca9840cf98525

MD5: 28e5fceaa9878bfbe967639cf2a2fb9b

SHA-256: 26b113ba29b037034ee34a7f0fea81f6d5452950e0d26058d9b96946d78570c5

MD5: 5abd9f1828e3c6d899b9c8ba79c16473

SHA-256: facb0bfb3123540415b28881bcf951b29ccdd3abace54747d76f19017e80e8d9

MD5: c219a8c50624f9dd9fc0f3c32510ea77

SHA-256: 3f9fac91288139f81d4949cd5daddc131aa3443d2a8631093d971b2ebde6ae77

MD5: 314328e63b2e55a9c20bbda313ab4d04

SHA-256: 55f43319b910037d5b2eb8a5e57a14fca88e22bb0f40e453e510cc375a42bf43

MD5: 861b80a75ecfb083c46f6e52277b69a9

SHA-256: 538bb2540aad0dcb512c6f0023607382456f9037d869b4bf00bcbdb18856b338

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: NewsPenguin Threat Actor Emerges with Malicious Campaign Targeting Pakistani Entities
• Fuente 2: NewsPenguin, a Previously Unknown Threat Actor, Targets Pakistan with Advanced Espionage Tool
• Fuente 3: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​