El malware SPECTR apunta a las Fuerzas Armadas de Ucrania en la campaña SickSync


7 de junio de 2024Sala de redacción Ciberataque/Malware

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió sobre un ciberataque dirigido a las fuerzas de defensa del país utilizando un malware llamado SPECTR como parte de una campaña de espionaje llamada SickSync.

La agencia atribuyó el ataque a un actor de amenazas al que rastrea bajo el alias UAC-0020. Se cree que el actor, también conocido como Vermin, tiene vínculos con los servicios de seguridad de la República Popular de Lugansk (LPR). La LPR fue declarada estado soberano por Rusia días antes de su invasión militar de Ucrania en febrero de 2022.

La cadena de ataque consta de un archivo RAR autoextraíble que contiene un archivo PDF señuelo, una versión troyanizada de la aplicación SyncThing que incorpora una carga útil SPECTR y una lanza que contiene un script por lotes que inicia un archivo ejecutable para activar la infección. un correo electrónico de phishing.

SPECTR comete robo de información tomando capturas de pantalla cada 10 segundos, recopilando archivos, recopilando datos de unidades USB extraíbles y robando credenciales de navegadores web y aplicaciones como Element, Signal, Skype y Telegram.

“Al mismo tiempo, la funcionalidad de sincronización estándar del software legítimo SyncThing, que permite establecer conexiones de igual a igual entre computadoras, se utilizó para cargar documentos, archivos, contraseñas y otra información robada de las computadoras”, dice CERT. UA.

SickSync indica que el grupo Yourmin ha regresado después de una ausencia prolongada. Anteriormente se vio al grupo orquestando una campaña de phishing dirigida a agencias gubernamentales ucranianas en marzo de 2022 e implementando malware SPECTR. Se sabe que este atacante utiliza SPECTR desde 2019.

Vermin es también el nombre dado a un troyano de acceso remoto .NET que los actores de amenazas han estado utilizando para atacar varias agencias gubernamentales ucranianas durante casi ocho años. Publicado por primera vez por la Unidad 42 de Palo Alto Networks en enero de 2018, ESET realizó un análisis que rastreó las actividades del atacante hasta octubre de 2015.

Esta divulgación se produce después de que CERT-UA advirtiera sobre un ataque de ingeniería social que utiliza la aplicación de mensajería instantánea Signal como vector de distribución para entregar un troyano de acceso remoto llamado DarkCrystal RAT (también conocido como DCRat). Este ataque está asociado con el grupo de actividad con nombre en código UAC-0200.

“Confirmamos una vez más que la intensidad de los ciberataques utilizando Messenger y cuentas legítimas comprometidas está aumentando”, dijo la agencia. “Al mismo tiempo, se solicita a la víctima que de alguna manera abra un archivo en su computadora”.

Además, se descubrió una campaña de malware en la que el hacker Ghostwriter, respaldado por el gobierno bielorruso (también conocido como UAC-0057, UNC1151), apuntó al Ministerio de Defensa de Ucrania, utilizando trampas colocadas en documentos de Microsoft Excel.

“Cuando ejecuta un documento de Excel que contiene macros VBA integradas, los archivos LNK y los archivos de carga DLL se eliminan”, dijo Symantec, una empresa de Broadcom. “El archivo LNK luego inicia un cargador de DLL que puede generar cargas útiles finales sospechosas, como el Agente Tesla, las balizas Cobalt Strike y njRAT”.

(Este artículo se actualizó después de su publicación para incluir la confirmación de ESET sobre la conexión entre UAC-0020 y Yourmin RAT).

¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/06/spectr-malware-targets-ukraine-defense.html