El grupo que está detrás de la ciberdelincuencia serie de ataques dirigidos en enero-abril 2019 utiliza herramientas maliciosas recogidos de acceso, componentes libres para robar credenciales.
Ros investigadores en Cisco Talos denominado a esta campaña de malware “Frankenstein”Porque el grupo pone hábilmente juntos componentes no relacionados y utilizados cuatro técnicas diferentes durante la operación.“Evaluamos que esta actividad era hiper-dirigida dado que hubo un bajo volumen de estos documentos en varios repositorios de malware”, - por ejemplo, en Cisco Talos.
Durante las operaciones maliciosos, cibercriminales utilizan los siguientes componentes de código abierto:
- los artículo elemento para determinar si la muestra se está ejecutando en una máquina virtual;
- proyecto GitHub usando MSBUILD para ejecutar comandos de PowerShell;
- Un componente del proyecto GitHub llamada FruityC2 para la creación de un servidor de ensayo;
- proyecto GitHub llama Imperio PowerShell para los agentes.
Para omitir la detección, cibercriminales comprobar si los programas como Process Explorer se están ejecutando en el sistema que está siendo atacada, y si el equipo infectado es una máquina virtual.
leer también: Investigadores de Cisco Talos encontraron vulnerabilidad en DBMS SQLite
Entre otras cosas, el grupo ha tomado una serie de medidas adicionales con el fin de responder sólo a Get-peticiones que contienen campos predefinidos, tales como cookies de sesión, un directorio de dominio específico, etc.. Los datos transmitidos protegidas con el cifrado.
"Los actores’ preferencia por las soluciones de código abierto parece ser parte de una tendencia más amplia en la que los adversarios están utilizando cada vez más soluciones disponibles públicamente, posiblemente para mejorar la seguridad operacional. Estas técnicas de ofuscación requerirán defensores de red para modificar su postura y procedimientos para detectar esta amenaza”, - tener en cuenta los investigadores de Cisco Talos.
Infección del sistema se produce por dos vectores. La primera consiste en el uso de un documento de Word malicioso para descargar una plantilla remoto que explota la vulnerabilidad deterioro de la memoria en Microsoft Office (CVE-2017 a 11.882) para ejecutar código.
El segundo vector de ataque también implica el uso de un documento de Word malicioso. Cuando la víctima abre el documento, que se requiere para activar las macros, y luego el Visual Basic Script empieza a correr. Este script escanea el sistema para detectar la presencia de herramientas para el análisis de malware y se detiene el trabajo de los programas maliciosos si detecta señales de una máquina virtual.
