El grupo Apt28 lanza mensajes de phishing que utilizan documentos que hacen referencia a una conferencia de seguridad cibernética de la OTAN
Los expertos atribuyen el ataque al grupo APT28, también conocido como aka Pawn Storm, Fancy Bear, Sofacy, Group 74, Sednit, Tsar Team y Strontium.Los piratas informáticos se dirigen a individuos con un interés específico en la conferencia de seguridad cibernética de Estados Unidos Cycoń organizado por el Centro de Defensa Cibernética de la OTAN Cooperativa de Excelencia (CCDCOE) en colaboración con el Instituto de Cyber Ejército en West Point de noviembre 7-8 Washington, DC
Los hackers patrocinados por el estado utilizan documentos que contienen contenido copiado desde la página oficial Cycoń Estados Unidos, los atacantes eran claramente interesado en espiar a los expertos en ciberseguridad.
“Cisco Talos descubrió una nueva campaña maliciosa del conocido Grupo actor de 74 (también conocido como el zar del equipo, Sofacy, APT28, Fancy oso ...). Irónicamente el documento señuelo es un volante engañosa relativa a la conferencia de Cyber Conflicto de Estados Unidos . Cycoń Estados Unidos es un esfuerzo de colaboración entre el Instituto Cyber Ejército en la Academia Militar de los Estados Unidos y de la Academia Militar de la OTAN Cooperativa cibernético y el Centro de Defensa Cibernética de la OTAN Cooperativa de Excelencia.” Afirma el informe publicado por CISCO Talos .Los atacantes no usaron ninguna vulnerabilidad de día cero en esta última campaña, en cambio, se basaron en los documentos de Office en armas que contienen los scripts VBA utilizados para entregar una nueva variante de Seduploader (también conocido como GameFish puerta trasera , Sednit, JHUHUGIT y Sofacy).“Debido a la naturaleza de este documento, se supone que esta campaña se dirige a personas con un interés en la seguridad cibernética ."
El Seduploader software malicioso, también conocido como puerta trasera GameFish, Sednit, JHUHUGIT y Sofacy, es una cepa de malware que ha sido ya utilizado por el actor amenaza en otras campañas contra representantes de la OTAN.
“En la campaña anterior, donde los adversarios utilizan exploits de documentos Office como un vector de infección, la carga útil fue ejecutado en el proceso de textos de la oficina. En esta campaña, los adversarios no usaron ninguna hazaña. En cambio, la carga útil se ejecuta en modo autónomo por rundll32.exe “, continúa el informe.El Seduploader es un malware de reconocimiento que se ha utilizado durante años por APT28, se compone de 2 archivos: un gotero y una carga útil. Los expertos notaron que gotero y la carga útil son bastante similares a las versiones anteriores, pero el autor modificarse alguna información pública, como el nombre MUTEX, teclas de ofuscación. Los hackers hacen estas modificaciones para evitar la detección de soluciones de seguridad. El CCDCOE publicó un aviso en su página web para advertir a las personas interesadas en la conferencia Cycoń sobre el ataque.
“Información de la página web Cycoń estadounidense se ha utilizado en un documento de Word con la intención de ofrecer software malicioso. Este tipo de ataque, donde la información legítima se utiliza para atraer la atención de las víctimas, es bastante común y normalmente detectado y evitado en los sistemas de información con garantías ampliamente utilizados.”Lee la alerta.Fecha actualización el 2021-06-17. Fecha publicación el 2017-10-24. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente: http://securityaffairs.co“Esto es claramente un intento de explotar la credibilidad del Instituto de Cyber Ejército y la OTAN CCDCOE con el fin de apuntar a los funcionarios y expertos de alto rango de la seguridad cibernética ,”
