Nuevas Familias de Malware BEATDROP y BOOMMIC Usadas por APT29: Campañas de Phishing con Técnicas de HTML Smuggling, Acceso a Largo Plazo para Fines de Espionaje
Tabla de contenidos:
APT29 es un grupo de espionaje patrocinado por el estado ruso, también conocido por los expertos en ciberseguridad como Nobelium APT. La amplitud de sus ataques corresponde a los objetivos geopolíticos actuales de Rusia. Sus últimos ataques se caracterizan por utilizar los cargadores BEATDROP y BEACON para desplegar el malware BOOMMIC (VaporRage).
Los analistas de seguridad informan que las últimas campañas de phishing fueron diseñadas para atacar a diplomáticos y diferentes agencias gubernamentales con el objetivo de mantener el acceso dentro de un entorno para propósitos de espionaje.
Detectar Actividad de APT29: Novel Malware BEATDROP y BOOMMIC
Las reglas a continuación detectan la presencia maliciosa de APT29 mediante los siguientes indicadores: el movimiento lateral de los actores de la amenaza movimiento lateral al desplegarlo a través de una tarea programada llamada SharedRealitySvcDLC; SMB BEACON a múltiples sistemas para facilitar la preparación de BEACON en sistemas remotos; detección de payload de SMB BEACON a través de logs de pipe_event. Las reglas desarrolladas por nuestros desarrolladores de Threat Bounty de primer nivel Nattatorn Chuensangarun, Emir Erdogan, Kaan Yeniyol:
Posible Movimiento Lateral del Grupo APT29 con Preparación de SMB BEACON (process_creation)
Posible Movimiento Lateral de APT29 mediante Uso de Tarea Programada de BEACON (via cmdline)
Movimiento Lateral Sospechoso de APT29 mediante Uso de SMB Beacon (via pipe_event)
Campañas de Phishing de APT29 descargan malwares BEATDROP y BOOMMIC (via process_creation)
Presione Ver Todo botón para ver la lista completa de detecciones asociadas con el APT29, disponible en el repositorio Threat Detection Marketplace de la plataforma de SOC Prime.
¿Desea conectarse con los líderes de la industria y desarrollar su propio contenido? Únase a la iniciativa de colaboración de SOC Prime como contribuyente de contenido y comparta sus propias reglas Sigma y YARA con la comunidad global de ciberseguridad mientras fortalece la defensa cibernética colaborativa en todo el mundo.
Ver Detecciones Únete a Threat Bounty
Detalles de la Campaña de Phishing de APT29
La primera noción sobre esta campaña de phishing multifacética apareció a principios de 2022. Investigadores de Mandiant descubrieron que APT29 enviaba correos electrónicos de spear-phishing, imitando avisos administrativos de embajadas, utilizando direcciones de email legítimas pero hackeadas que originalmente pertenecían a entidades diplomáticas. Es probable que el uso de servicios en la nube legales como Trello de Atlassian para el comando y control sea un intento de hacer que la identificación y mitigación sea más difícil para las víctimas.
En esta campaña de phishing, los atacantes usaron el contrabando HTML, que es un método de phishing que utiliza HTML5 y JavaScript para encriptar cadenas en un archivo adjunto o página web HTML para ocultar cargas útiles dañinas. Cuando un usuario abre un archivo adjunto o hace clic en un enlace, el navegador decodifica estas cadenas. Los actores de APT29 lo usaron para entregar archivos IMG e ISO; este es su método probado que ha demostrado su eficacia en los infames ataques a la cadena de suministro de SolarWinds. supply-chain attacks.
A continuación, los analistas de seguridad detectaron el despliegue de descargadores BEATDROP escrito en C y BEACON escrito en C++. BEATDROP se conecta a Trello para la comunicación C2 y opera en memoria tras establecerse e inyectarse en un hilo suspendido. Según los datos actuales, ahora ha sido sustituido por un BEACON más eficiente en C++ que los adversarios utilizan para habilitar el escaneo de puertos, tomar capturas de pantalla, capturar pulsaciones de teclas y exfiltración de datos.
BEATDROP y BEACON se utilizan para plantar BOOMMIC alias VaporRage para establecer persistencia en un sistema comprometido.
Únase a la plataforma Detection as Code de SOC Prime para obtener beneficios recurrentes mientras utiliza las ventajas de las mejores prácticas de defensa colaborativa. SOC Prime también ha lanzado una colección significativa de reglas Sigma gratuitas disponibles en nuestra plataforma Detection as Code a la luz de la invasión de Rusia a Ucrania y el aumento del número de ciberataques patrocinados por el estado vinculados a Rusia. El contenido de detección ayuda a los profesionales de la defensa cibernética a detectar ataques lanzados por APTs de alto perfil vinculados a Rusia, respaldados por una extensa investigación del equipo de SOC Prime y los desarrolladores del Programa Threat Bounty.