Un grupo de delitos informáticos que ejecuta una campaña de phishing diseñada para entregar una puerta trasera de RedControle suplantó con éxito los dominios de la infraestructura rusa crítica para camuflarse como un grupo APT patrocinado por el Estado nacional.
Los ciberdelincuentes utilizaron este novedoso tipo de técnica de ocultación para deshacerse de los investigadores de seguridad que investigan sus operaciones y enviarlos a buscar agentes de amenazas patrocinados por el estado que ejecutan operaciones de espionaje, sabotaje, coerción y información mucho más complicadas.
Cylance descubrió por primera vez el kit de herramientas de malware del grupo de ciberdelincuentes en julio de 2017, en forma de documentos de Word con macros maliciosas incrustadas dirigidas a hablantes de ruso.
Se encontraron de nuevo a principios de 2018 y permitieron a Cylance descubrir que los servidores de comando y control (C2) utilizados por esta campaña de malware fueron diseñados para imitar los dominios de las empresas industriales rusas de una larga lista de objetivos de infraestructura críticos.
Además, la campaña se enfocó específicamente en Rosneft y sus subsidiarias, pero también creó sitios similares para imitar a más de dos docenas de organizaciones de infraestructura de petróleo, gas, químicos, agrícolas, y otras infraestructuras críticas de propiedad estatal, además de los principales intercambios financieros de Rusia. "
Segundo backdoor proporcionado control remoto de máquinas comprometidas
Mientras profundizaba más en el comportamiento de la operación, Cylance también descubrió que estaba activo durante más de tres años, con el malware utilizado durante todo este tiempo sufriendo cambios mínimos.
Los investigadores de seguridad descubrieron que los documentos maliciosos de Word utilizados en los ataques eliminaron la puerta trasera de RedControle descargada desde un servidor FTP.
Una vez que se lanzó la puerta trasera en los sistemas comprometidos, envió la dirección IP, el nombre del host y la información de las unidades adjuntas a sus maestros, así como los datos del portapapeles, las pulsaciones de teclado y los nombres de las ventanas en texto sin cifrar a través de HTTP y casi en tiempo real.
Además, la carga útil de RedControle también tenía la capacidad de cargar y descargar archivos, manipular archivos y carpetas, comprimir y descomprimir archivos usando ZLIB, enumerar información de unidades e información de host, elevar privilegios, capturar capturas de pantalla e imágenes de cámaras web, bloquear y / o simular usuarios. introducir, registrar pulsaciones de teclas y manipular procesos en el sistema infectado ".
Para colmo, los delincuentes también colocaron una puerta trasera de Sticky Keys en las máquinas infectadas, diseñadas para permitir que sus maestros las controlen de forma remota.
Fecha actualización el 2021-12-13. Fecha publicación el 2018-12-13. Categoría: apt Autor: Oscar olg Mapa del sitio Fuente: softpedia