El avanzado grupo de amenazas persistentes Fancy Bear continúa sus ataques a entidades gubernamentales de todo el mundo utilizando una campaña de malware de carga útil de dos etapas que elimina el troyano Zebroy y un nuevo troyano denominado Cannon , descubierto por la Unidad 42 de Palo Alto Networks
Los correos electrónicos maliciosos distribuidos a través de la nueva campaña de malware de Fancy Bear eliminarán el Zebrocy Trojan como carga útil de primera etapa y un nuevo troyano llamado Cannon como carga útil de segunda etapa.
El canal de comunicación basado en correo electrónico utilizado por Cannon para comunicarse con sus servidores de comando y control (C&C) es el comportamiento más emocionante observado por la Unidad 42 al analizar el nuevo troyano.
Además, el uso de correos electrónicos para comunicarse con los titiriteros que lo controlan podría permitir a Cannon evitar la detección, ya que la mayoría de los programas maliciosos en estos días utilizan los canales de comunicación HTTP y HTTPS.
Como lo descubrió la Unidad 42, "Los documentos con armas apuntan a varias entidades gubernamentales de todo el mundo, incluyendo América del Norte, Europa y un antiguo estado de la URSS".
Cannon utiliza los protocolos de comunicación cifrados SMTPS y POP3S para sus canales C2.
The Fancy Bear (también conocido como APT28, Pawn Storm, Sofacy Group, Sednit y STRONTIUM Cannon Trojan usa la función AutoClose para evitar el análisis cuando se encuentra en un entorno de análisis de malware como sandboxes automáticos, retrasando la ejecución del código malicioso hasta el documento de Word Se utiliza como un vector de infección se cierra.
Cannon funciona "principalmente como un descargador que se basa en correos electrónicos para comunicarse entre el troyano y el servidor C2. Para comunicarse con el servidor C2, el troyano enviará correos electrónicos a direcciones de correo electrónico específicas a través de SMTPS a través del puerto TCP 587."
Como se reveló durante el análisis de la Unidad 42, viene con múltiples habilidades de ganar persistencia en las máquinas comprometidas y generar identificaciones individuales específicas del sistema para cada una de ellas para tomar instantáneas de escritorio, recopilar información del sistema e iniciar sesión en las cuentas de correo electrónico POP3 de la víctima para enviar la información Recoge a sus amos.
Además, Cannon también puede descargar nuevas cargas útiles enviadas por el grupo de ciberespionaje y ejecutar las cargas útiles descargadas en la máquina comprometida.
El uso de SMTPS y POP3S para comunicarse con sus servidores C&C hace que el nuevo Cannon Trojan sea mucho más difícil de detectar, dado que los servidores que utiliza para enviar y recibir comandos son proveedores legítimos de servicios de correo electrónico.
Fecha actualización el 2021-11-21. Fecha publicación el 2018-11-21. Categoría: apt Autor: Oscar olg Mapa del sitio Fuente: softpedia