Los investigadores de Cyble Research and Intelligence Labs (CRIL) confirman que el grupo de actores de amenazas UAC-0184, vinculado a Rusia, está apuntando a Ucrania con un troyano de acceso remoto (RAT) XWorm que utiliza archivos relacionados con Python Did.
Descripción técnica de las campañas XWorm RAT
La campaña comienza con un archivo de acceso directo LNK malicioso disfrazado de un documento Excel legítimo, que ejecuta un script de PowerShell cuando se ejecuta. El script descargará dos archivos desde la URL especificada: ‘pkg.zip’ y ‘NewCopy.xlsx’. Luego, el archivo de acceso directo LNK ejecuta “pythonw.exe” usando el comando de inicio para clonar el archivo y guardarlo en una nueva carpeta. ‘pythonw.exe’ carga la DLL maliciosa ‘python310.dll’ mediante la carga lateral de DLL e inyecta shellcode en el proceso de MSBuild.
Fuente: Cyble
Los piratas informáticos utilizan una técnica llamada descarga de DLL. Esto disfraza los archivos de biblioteca maliciosos como archivos legítimos. Esto permite a un atacante ejecutar código bajo la apariencia de software confiable. Además, se utiliza una herramienta llamada Shadowloader para inyectar XWorm RAT en procesos en ejecución para ocultar aún más su presencia.
Luego se ejecuta XWorm RAT para proporcionar diversas funciones, como robo de datos, ataques DDoS y manipulación de direcciones de criptomonedas. El malware intenta conectarse a un servidor de comando y control (C&C), pero el servidor estaba inactivo en el momento del análisis, por lo que no se observó actividad maliciosa.
Fuente: Cyble
Se desconoce la ruta de infección inicial, pero los investigadores sospechan que pueden estar involucrados correos electrónicos de phishing. El acceso al señuelo de Excel utilizado en el ataque no identificó a la víctima objetivo. Los investigadores de CRIL han observado anteriormente que el grupo de actores de amenazas UAC-0184 utiliza señuelos personalizados para atraer a objetivos ucranianos, a menudo imitando las comunicaciones oficiales del gobierno y del sector público que estaba observando.
Protección contra RAT XWorm
El malware XWorm RAT utilizado en esta campaña está diseñado para ser fácilmente accesible para los actores de amenazas sin tecnología ni experiencia avanzadas. Este malware versátil tiene una variedad de capacidades, que incluyen robo de datos, ataques DDoS, manipulación de direcciones de criptomonedas, implementación de ransomware y descarga de malware adicional en sistemas comprometidos. Los investigadores de Cyble recomiendan varias defensas contra esta campaña.
Implemente un potente filtrado de correo electrónico para bloquear archivos adjuntos maliciosos. Tenga especial cuidado con los archivos adjuntos de correo electrónico de remitentes desconocidos. Limite la ejecución de lenguajes de scripting si es posible. Utilice una lista blanca de aplicaciones para controlar qué programas se pueden ejecutar. Implemente una potente solución antivirus y antimalware. Aplique contraseñas seguras y únicas y autenticación de dos factores. Supervise su red en busca de actividad inusual o intentos de filtración de datos.
Este ataque demuestra los persistentes esfuerzos del UAC-0184 por atacar a Ucrania de manera evasiva. El uso de XWorm RAT como carga útil final indica una intención de establecer acceso remoto a sistemas comprometidos con fines estratégicos.
Descargo de responsabilidad para los medios: este informe se basa en investigaciones internas y externas obtenidas a través de diversos medios. La información proporcionada tiene únicamente fines informativos y el usuario asume toda la responsabilidad por confiar en ella. Cyber Express no asume ninguna responsabilidad por la exactitud de esta información ni por las consecuencias de su uso.
relacionado
Fuente: https://thecyberexpress.com/russian-hackers-target-ukraine-xworm-rat/