Underc0de

Se ha observado un nuevo y sofisticado ataque cibernético dirigido a los puntos finales geolocalizados en Ucrania con el objetivo de desplegar Cobalt Strike y tomar el control de los hosts comprometidos.

La cadena de ataque, según Fortinet FortiGuard Labs, involucra un archivo de Microsoft Excel que lleva una macro VBA incrustada para iniciar la infección.

"El atacante utiliza una estrategia de malware de varias etapas para entregar la notoria carga útil 'Cobalt Strike' y establecer comunicación con un servidor de comando y control (C2)", dijo la investigadora de seguridad Cara Lin en un informe del lunes. "Este ataque emplea varias técnicas de evasión para garantizar el éxito de la entrega de la carga útil".

Cobalt Strike, desarrollado y mantenido por Fortra, es un conjunto de herramientas de simulación de adversarios legítimo utilizado para operaciones de red teaming. Sin embargo, a lo largo de los años, las versiones crackeadas del software han sido ampliamente explotadas por los actores de amenazas con fines maliciosos.

El punto de partida del ataque es el documento de Excel que, cuando se inicia, muestra contenido en ucraniano e insta a la víctima a "Habilitar contenido" para activar las macros. Vale la pena señalar que Microsoft ha bloqueado las macros de forma predeterminada en Microsoft Office a partir de julio de 2022.

Una vez que se habilitan las macros, el documento supuestamente muestra contenido relacionado con la cantidad de fondos asignados a las unidades militares, mientras que, en segundo plano, la macro codificada en HEX implementa un descargador basado en DLL a través de la utilidad del servidor de registro (regsvr32).

El descargador ofuscado supervisa los procesos en ejecución en busca de los relacionados con Avast Antivirus y Process Hacker, y se cierra rápidamente si detecta uno.

Suponiendo que no se identifique tal proceso, se comunica con un servidor remoto para obtener la carga útil codificada de la siguiente etapa, pero solo si el dispositivo en cuestión se encuentra en Ucrania. El archivo decodificado es una DLL que es la principal responsable de lanzar otro archivo DLL, un inyector crucial para extraer y ejecutar el malware final.

El procedimiento de ataque culmina con el despliegue de una baliza de ataque de cobalto que establece contacto con un servidor C2 ("simonandschuster[.] tienda").

"Al implementar comprobaciones basadas en la ubicación durante las descargas de la carga útil, el atacante tiene como objetivo enmascarar la actividad sospechosa, eludiendo potencialmente el escrutinio de los analistas", dijo Lin. "Al aprovechar las cadenas codificadas, el VBA oculta cadenas de importación cruciales, lo que facilita la implementación de archivos DLL para la persistencia y el descifrado de cargas útiles posteriores".

"Además, la función de autoeliminación ayuda a las tácticas de evasión, mientras que el inyector de DLL emplea tácticas de demora y termina los procesos principales para evadir los mecanismos de sandboxing y antidepuración, respectivamente".

Fuente: https://thehackernews.com