Detección de Ataques Storm-0978: Hackers Vinculados a Rusia Explotan CVE-2023-36884 para Difundir un Backdoor Dirigido a Organizaciones del Sector de Defensa y Público

[post-views]
julio 12, 2023 · 5 min de lectura
Detección de Ataques Storm-0978: Hackers Vinculados a Rusia Explotan CVE-2023-36884 para Difundir un Backdoor Dirigido a Organizaciones del Sector de Defensa y Público

Investigadores de ciberseguridad han revelado una nueva operación ofensiva lanzada por el grupo Storm-0978 respaldado por Rusia, también conocido como DEV-0978, que también se rastrea como RomCom basado en el nombre del nefasto backdoor con el que están asociados. En esta campaña, los hackers están atacando organizaciones de defensa y autoridades públicas en Europa y Norteamérica aprovechando el vector de ataque de phishing al explotar una vulnerabilidad RCE CVE-2023-36884 y las señuelos relacionados con el Congreso Mundial Ucraniano.

Detección de ataques de Storm-0978

Con el creciente volumen de operaciones maliciosas atribuidas al grupo de hacking respaldado por Rusia Storm-0978, conocido por una serie de ataques contra Ucrania y sus aliados, los defensores buscan formas de fortalecer su resiliencia cibernética. Para ayudar a las organizaciones a detectar oportunamente la última campaña de phishing relacionada con el abuso de la falla CVE-2023-36884, el equipo de SOC Prime selecciona una regla Sigma relevante disponible en el siguiente enlace:

Proceso secundario de MSOffice sospechoso (vía cmdline)

Esta regla Sigma está adaptada para más de 20 soluciones SIEM, EDR, XDR y Data Lake y se mapea con ATT&CK de MITRE abordando las tácticas de Acceso Inicial y Ejecución junto con las técnicas relevantes de Phishing (T1566) y Explotación para Ejecución de Clientes (T1203).

Para obtener la lista completa de reglas Sigma para la detección de ataques de Storm-0978, haga clic en el Explorar Detecciones botón a continuación. Para simplificar la búsqueda de contenido de detección, todas las reglas Sigma relevantes están filtradas por las etiquetas personalizadas “Storm-0978” o “DEV-0978”. Obtenga información sobre el contexto de amenazas cibernéticas detrás de los ataques del grupo, consulte nuestras referencias de CTI y ATT&CK, explore mitigaciones y profundice en metadatos más accionables para reducir el tiempo de su investigación de amenazas.

Explorar Detecciones

Los defensores cibernéticos también pueden acceder a todo el conjunto de reglas Sigma para la detección de RomCom para defender proactivamente contra cualquier amenaza existente y emergente asociada con este malware y vinculada con los adversarios responsables de su distribución.

Análisis de los ataques de Storm-0978: actividad de ciberespionaje y ransomware

El equipo de investigación de Microsoft ha descubierto una nueva campaña de phishing del grupo Storm-0978 también conocido como DEV-0978 apuntando a organizaciones de defensa y entidades del sector público. Los actores de amenazas abusan de CVE-2023-36884 zero-day explotado en la naturaleza, la vulnerabilidad RCE en Microsoft Windows y Office con una puntuación CVSS de 8.3, que se ha agregado al parche de Microsoft de julio de 2023. En la última campaña del adversario, los atacantes aprovechan los señuelos vinculados al Congreso Mundial Ucraniano.

Storm-0978 es un grupo vinculado a Rusia que ha estado lanzando múltiples operaciones de ransomware y campañas maliciosas dirigidas a la recopilación de inteligencia y al robo de datos sensibles. El colectivo de hacking también se conoce por ser los desarrolladores y distribuidores del backdoor RomCom. En el otoño de 2022, los organismos estatales ucranianos también fueron el objetivo de infección de malware RomCom debido a una campaña de phishing dirigida reportada por CERT-UA. DEV-0978 también se rastrea como RomCom basado en las cepas maliciosas correspondientes detrás de los mismos. En la última campaña del verano de 2023, la explotación de CVE-2023-36884 lleva a la propagación de un backdoor similar a RomCom.

La actividad de Storm-0978 principalmente revela motivos financieros y de ciberespionaje detrás de sus operaciones ofensivas, con diferentes sectores industriales utilizados como objetivos principales. En cuanto a las campañas relacionadas con el espionaje, se observa que los actores de amenaza Storm-0978 apuntan a organismos estatales y organizaciones militares en Ucrania, así como a sus aliados, abusando del vector de ataque de phishing y explotando temas políticos relacionados con Ucrania como señuelos. Mientras que la actividad de ransomware de Storm-0978 se dirige principalmente al sector de telecomunicaciones y entidades financieras.

En cuanto a las TTPs de adversarios utilizadas en ataques, el grupo aprovecha versiones troyanizadas de software legítimo para desplegar el malware RomCom y registra dominios maliciosos disfrazados como utilidades legítimas.

Los operadores de RomCom han lanzado un conjunto de operaciones de ciberespionaje desde la segunda mitad de 2022. Aparte de la última campaña de junio que arma CVE-2023-36884, los actores de Storm-0978 también estuvieron detrás de una ola de ataques de phishing contra funcionarios ucranianos, específicamente apuntando a los usuarios del sistema DELTA y propagando el malware FateGrab/StealDeal a principios de 2022. Otra campaña adversaria tuvo lugar a mediados de otoño de 2022 con el grupo generando sitios web de instaladores fraudulentos apuntando a organizaciones militares y del sector público ucraniano y propagando RomCom para obtener credenciales de usuario.

Microsoft ha emitido una lista de medidas de mitigación recomendadas para ayudar a las organizaciones a remediar la amenaza relacionada con los intentos de explotación de CVE-2023-36884. Las empresas que utilizan Microsoft Defender para Office no se verán afectadas, sin embargo, otros clientes podrían enfrentar riesgos de potenciales ataques. Aprovechar la regla de reducción de superficie de ataque que impide que todas las aplicaciones de Office generen procesos secundarios obstaculizará los intentos de explotación adversaria. Otro paso de mitigación que se puede aplicar implica configurar la clave de registro FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION.  

Explore la plataforma SOC Prime para la defensa cibernética colectiva para acceder al repositorio más grande del mundo de reglas Sigma y equipar a su equipo con Uncoder AI y Attack Detective para hacer sus procedimientos de ingeniería de detección más rápidos y sencillos, identificar puntualmente los puntos ciegos en su infraestructura y priorizar sus operaciones de búsqueda para una postura de ciberseguridad a prueba de balas.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Blog, Últimas Amenazas — 4 min de lectura
Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware
Veronika Telychko
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Blog, Últimas Amenazas — 5 min de lectura
Detección de puerta trasera TorNet: Una campaña continua de correos electrónicos de phishing utiliza malware PureCrypter para desplegar otras cargas
Veronika Telychko