Los adversarios utilizan PDFs armados disfrazados de señuelos de la Embajada Alemana para propagar una variante de malware Duke en ataques contra Ministerios de Asuntos Exteriores de países alineados con la OTAN
Tabla de contenidos:
Los investigadores de ciberseguridad han observado una nueva campaña maliciosa que tiene como objetivo los Ministerios de Asuntos Exteriores de países relacionados con la OTAN. Los adversarios distribuyen documentos PDF utilizados como cebos y haciéndose pasar por la embajada alemana. Uno de los archivos PDF contiene el malware Duke atribuido al nefasto colectivo de hackers respaldado por la nación rusa conocido como APT29 también llamado NOBELIUM, Cozy Bear o The Dukes.
Detectar ataques aplicando PDFs armados para propagar la variante del malware Duke a través de la carga lateral de DLL
Con el APT29 siendo una división de hackers secreta del Servicio de Inteligencia Exterior de Rusia (SVR) actuando a favor de los intereses geopolíticos de Moscú, la última campaña maliciosa contra los países de la OTAN podría ser parte de acciones ofensivas contra los aliados de Ucrania.
Al cooperar con CERT-UA y SSSCIP, SOC Prime investiga, desarrolla y prueba reglas Sigma en el campo de batalla real, entregando cientos de piezas de nuevo contenido de detección al mes para ayudar a contrarrestar los ataques destructivos de Rusia. Para ayudar a los defensores cibernéticos a identificar el último ciberataque de APT29, la Plataforma SOC Prime ofrece una regla Sigma dedicada dirigida a detectar intentos de cargar lateralmente una biblioteca dinámica de MSO legítimamente nombrada para realizar actividades maliciosas.
Posible intento de carga lateral de biblioteca dinámica MSO (a través de image_load)
La regla es compatible con 20 formatos tecnológicos de SIEM, EDR, XDR y Data Lake y está mapeada a MITRE ATT&CK®, abordando tácticas de evasión de defensa y secuestro del flujo de ejecución (T1574) como técnica correspondiente.
Para profundizar en el conjunto completo de algoritmos de detección que abordan las TTPs del APT29, pulse el botón Explorar Detecciones a continuación. Para una investigación de amenazas optimizada, los equipos también pueden profundizar en los metadatos relevantes, incluidas las referencias de ATT&CK y CTI.
Análisis de ataque usando PDFs armados con contrabando HTML y propagación del malware Duke
Investigadores de EclecticIQ han observado una operación ofensiva en curso contra los Ministerios de Asuntos Exteriores de países de la OTAN, en la que los adversarios aprovechan archivos PDF maliciosos con cebos de invitación haciéndose pasar por la embajada alemana. Uno de los archivos PDF armados contiene la variante del malware Duke vinculado anteriormente al infame grupo patrocinado por el estado ruso conocido como APT29. El grupo está detrás de una serie de ataques de ciberespionaje y cuenta con el respaldo del Servicio de Inteligencia Exterior de Rusia mientras utiliza un sofisticado conjunto de herramientas adversarias para llevar a cabo sus operaciones ofensivas.
En la campaña adversaria en curso, los actores de amenazas aplican servidores Zulip para C2, permitiéndoles mezclarse con el tráfico web legítimo y evadir la detección. Basándose en los patrones de comportamiento del adversario, los archivos de cebo, el malware aplicado y sus medios de entrega, los investigadores vinculan la campaña maliciosa observada con la actividad del APT29.
La cadena de infección se activa al ejecutar los archivos de cebo PDF maliciosos con código JavaScript incrustado destinado a descargar cargas útiles en formato de archivo HTML en los dispositivos comprometidos. Usando contrabando HTML, los atacantes entregan un archivo de aplicación HTML malicioso (HTA), que se considera un LOLBIN popular. Este último está destinado a descargar la muestra de malware Duke en los sistemas afectados.
Lanzar el archivo HTA lleva a la propagación de tres archivos ejecutables en el directorio específico dentro del sistema comprometido. Uno de estos archivos es la variante del malware Duke ejecutada a través de la carga lateral de DLL. El malware aplica hash de API de Windows como técnica de evasión, permitiendo a los adversarios eludir los escáneres de malware estáticos.
Como posibles medidas de mitigación, los defensores recomiendan configurar mecanismos de protección de red adecuados para bloquear el tráfico de red sospechoso, aplicar políticas de lista de permitidos en hosts de Windows para evitar la ejecución de LOLBINs específicos que podrían ser explotados por atacantes, aumentar la conciencia sobre ciberseguridad e implementar continuamente las mejores prácticas de seguridad de la industria para aumentar la resiliencia cibernética.
Confíe en el poder de la inteligencia aumentada y la experiencia colectiva de la industria con Uncoder AI para crear sin problemas algoritmos de detección contra amenazas emergentes, convertirlos instantáneamente a 44 formatos de SIEM, EDR, XDR y Data Lake, y compartir su código con sus pares de la industria para fomentar una defensa informada por amenazas activa.
