Detección de Ataques Actor240524: Nuevo Grupo APT Apunta a Diplomáticos Israelíes y Azerbaiyanos Usando Malware ABCloader y ABCsync
Tabla de contenidos:
Los defensores han descubierto un grupo APT novedoso llamado Actor240524, que aplica un kit de herramientas avanzado del adversario para evadir la detección y lograr persistencia. A principios de julio de 2024, los adversarios realizaron una campaña de spear-phishing contra diplomáticos de Azerbaiyán e Israel. Los atacantes aprovecharon un documento de Word malicioso con contenido en azerí y que se hacía pasar por documentación oficial diseñada para robar datos sensibles de los usuarios objetivo.
Detectar actividad maliciosa de Actor240524
El continuo aumento de phishing los ataques contra organizaciones en diversos sectores de la industria sigue siendo un obstáculo significativo para los defensores cibernéticos. El uso de tecnologías de IA con fines ofensivos ha contribuido a este desafío, llevando a un asombroso aumento del 856% en correos electrónicos maliciosos en 2024, intensificando el problema. La plataforma SOC Prime para la defensa cibernética colectiva equipa a los equipos de seguridad con un conjunto de algoritmos de detección enriquecidos con contexto para ayudarles a contrarrestar ataques de phishing emergentes, incluyendo contenido que aborda la reciente campaña de spear-phishing por el nuevo grupo APT, Actor240524.
Haga clic en el botón Explorar detecciones para acceder a las detecciones relevantes filtradas por la etiqueta personalizada “Actor240524”. Todas las reglas Sigma son compatibles con tecnologías líderes de SIEM, EDR y Data Lake, alineadas con el marco MITRE ATT&CK®, y enriquecidas con inteligencia de amenazas personalizada.
Los ingenieros de seguridad también pueden obtener la colección completa de contenido SOC para detectar actividades maliciosas asociadas con ataques APT haciendo clic en este enlace.
Análisis del ataque Actor240524
Investigadores de NSFOCUS Security Labs identificaron recientemente una nueva campaña de spear-phishing contra diplomáticos israelíes y azerbaiyanos, utilizando archivos de Word disfrazados de documentos oficiales e incrustados con código macro dañino. El análisis de las tácticas, técnicas y procedimientos de los atacantes reveló que no hay enlace con ningún grupo APT conocido, lo que permite a los defensores rastrear la actividad del nuevo adversario como Actor240524.
La campaña ofensiva parece centrarse en la relación de cooperación entre las dos naciones, específicamente en el personal diplomático de ambos países a través de un vector de ataque de phishing. La operación de Actor240524 empleó programas troyanos de nuevo desarrollo, identificados como ABCloader y ABCsync, para robar datos sensibles mientras evadía la detección.
La cadena de infección comienza con un documento de Word de phishing armado que contiene imágenes borrosas. Al hacer clic, se activa un código macro, que utiliza el programa VBA incrustado para decodificar y guardar la carga útil maliciosa en una ruta específica y ejecutar ABCloader. Una vez ejecutado el ABCloader, lleva a la descifración y liberación de tres archivos ejecutables y luego a la carga de un DLL, el malware ABCsync. Este último se conecta al servidor C2 para ejecutar las tareas correspondientes y propagar la infección más.
El malware ABCsync sirve como la carga útil principal del ataque, con funciones principales que incluyen la ejecución de shells remotos, la alteración de datos de usuario y el robo de archivos de usuario del sistema comprometido. Ambos troyanos usan técnicas de evasión de detección persistente, incluyendo la encriptación de elementos clave como cadenas y llamadas API. Además, monitorean activamente el entorno de procesos en busca de signos de depuración, como el campo BeingDebugged y NtGlobalFlag, y utilizan NtQueryInformationProcess para detectar estados de depuración, contrarrestando eficazmente los esfuerzos de análisis anti-malware.
Actor240524 aprovecha un ataque multi-etapa con un conjunto de herramientas ofensivas, incluyendo synchronize.exe, un cargador similar a ABCloader, que se desencripta a sí mismo para mantener la persistencia. Los archivos vcruntime190.dll and vcruntime220.dll secuestran componentes legítimos del sistema para ejecutarse synchronize.exe, asegurando la presencia continua del cargador en el sistema.
La aparición de grupos de hackeo sofisticados, como Actor240524, que experimentan con herramientas ofensivas versátiles para mantener la persistencia y permitir el control remoto subraya la necesidad de fortalecer las capacidades defensivas. Confíe en Attack Detective de SOC Prime para mejorar la postura SIEM de su organización, prevenir proactivamente los ataques de los adversarios más desafiantes para su negocio, obtener una pila de detección priorizada para alertas de alta fidelidad y automatizar la rutina de búsqueda de amenazas.
