Investigadores de seguridad de Z-Lab en CSE Cybsec observaron series de malware enviadas al sandbox en línea y una muestra enviada a Virus Total atribuida por algunos expertos al grupo ruso APT28
El grupo APT28 (también conocido como Fancy Bear, Pawn Storm, Sednit, Sofacy y Strontium) está activo desde 2007 y participaron en varios ataques, incluidas las elecciones presidenciales de 2016.
Investigadores de Z-Lab junto con un investigador con el control de Twitter @DrunkBinary obtuvieron una colección de muestras que parecen ser la nueva versión del backdoor APT28 rastreada como X-Agent.
Grupo APT28 Ataque en varias etapas
El ataque parece ser de varias etapas, primero arroja un malware de cuentagotas inicial escrito en el lenguaje de programación Delphi y el segundo es la carga descargada de Internet.
Para evitar escuchar la conexión al servidor a través del protocolo HTTPS y el grupo hacker que tiene servidores C2C en Europa y otro en China.
El malware conectado con comando y control con el nombre marina-info [.] Net que hace referencia al cuerpo militar italiano, Marina Militare.
Los investigadores descubrieron cuatro muestras utilizadas en la campaña y las cuatro parecen ser la misma muestra de malware. La muestra contiene dos archivos ".lnk" y un archivo "jpg".
Pero el archivo jpg es ejecutable, una vez que se ejecutó, se conecta con la dirección IP 45.124.132.127 y envía periódicamente los detalles del sistema operativo.
Una vez que se envía la información al servidor C2, se descarta otro archivo " upnphost [.] Exe ", que es la carga final.
Este archivo se recuperó de las plataformas de inteligencia de amenazas y se marcó como una muestra APT28. Otra característica en común es el lenguaje de programación Delphi, que es raro encontrar un malware escrito en lenguaje Delphi.
Fecha actualización el 2021-07-16. Fecha publicación el 2018-07-16. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers