Underc0de

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Septiembre 15, 2022, 08:54:38 PM

Título: Webworm Hackers utilizan RAT modificadas en los últimos ataques
Publicado por: Dragora en Septiembre 15, 2022, 08:54:38 PM
(https://i.imgur.com/RMnRkKL.png)

Un actor de amenazas rastreado bajo el nombre de Webworm ha sido vinculado a troyanos de acceso remoto personalizados basados ​​en Windows, algunos de los cuales se dice que están en fases previas a la implementación o de prueba.

"El grupo ha desarrollado versiones personalizadas de tres troyanos de acceso remoto (RAT) más antiguos, incluidos Trochilus RAT , Gh0st RAT y 9002 RAT ", dijo el equipo de Symantec Threat Hunter, parte de Broadcom Software, en un informe compartido con The Hacker News.

La firma de ciberseguridad dijo que al menos uno de los indicadores de compromiso (IOC) se utilizó en un ataque contra un proveedor de servicios de TI que opera en varios países asiáticos.

Vale la pena señalar que las tres puertas traseras están asociadas principalmente con actores de amenazas chinos como Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) y Judgment Panda (APT31), entre otros, aunque han sido puesto en uso por otros grupos de piratería.

Symantec dijo que el actor de amenazas Webworm exhibe superposiciones tácticas con otro nuevo colectivo adversario documentado por Positive Technologies a principios de mayo como Space Pirates , que se encontró golpeando entidades en la industria aeroespacial rusa con malware novedoso.

Space Pirates, por su parte, se cruza con la actividad de espionaje china previamente identificada conocida como Wicked Panda (APT41), Mustang Panda, Dagger Panda ( RedFoxtrot ), Colorful Panda (TA428) y Night Dragon debido al uso compartido de módulos posteriores a la explotación. RAT como PlugX y ShadowPad .

Otras herramientas en su arsenal de malware incluyen Zupdax, Deed RAT, una versión modificada de Gh0st RAT conocida como BH_A006 y MyKLoadClient.

Webworm, activo desde 2017, tiene un historial de ataques a agencias gubernamentales y empresas involucradas en servicios de TI, industrias aeroespaciales y de energía eléctrica ubicadas en Rusia, Georgia, Mongolia y varias otras naciones asiáticas.

Las cadenas de ataque implican el uso de malware dropper que alberga un cargador diseñado para lanzar versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st y 9002. La mayoría de los cambios están destinados a evadir la detección, dijo la firma de ciberseguridad, y señaló que el acceso inicial se logra a través de la ingeniería social con documentos señuelo.

"El uso de Webworm de versiones personalizadas de malware más antiguo y, en algunos casos, de código abierto, así como las superposiciones de código con el grupo conocido como Space Pirates, sugieren que pueden ser el mismo grupo de amenazas", dijeron los investigadores.

"Sin embargo, el uso común de este tipo de herramientas y el intercambio de herramientas entre grupos en esta región pueden oscurecer los rastros de distintos grupos de amenazas, lo que probablemente sea una de las razones por las que se adopta este enfoque, otra de las cuales es el costo, ya que desarrollar sofisticados el malware puede ser costoso en términos de dinero y tiempo".

Fuente: https://thehackernews.com