YoroTrooper roba credenciales e información de organizaciones gubernamentales

Un actor de amenazas previamente indocumentado llamado YoroTrooper ha estado apuntando a organizaciones gubernamentales, energéticas e internacionales en toda Europa como parte de una campaña de espionaje cibernético que ha estado activa desde al menos junio de 2022.

"La información robada de compromisos exitosos incluye credenciales de múltiples aplicaciones, historiales y cookies del navegador, información del sistema y capturas de pantalla", dijeron los investigadores de Cisco Talos Asheer Malhotra y Vitor Ventura en un análisis del martes.

Los países prominentes afectados incluyen Azerbaiyán, Tayikistán, Kirguistán, Turkmenistán y otras naciones de la Comunidad de Estados Independientes (CEI).

Se cree que el actor de la amenaza es de habla rusa debido a los patrones de victimología y la presencia de fragmentos cirílicos en algunos de los implantes.

Dicho esto, se ha descubierto que el conjunto de intrusión YoroTrooper exhibe superposiciones tácticas con el equipo PoetRAT que se documentó en 2020 como un apalancamiento de cebos con temas de coronavirus para atacar a los sectores gubernamentales y energéticos en Azerbaiyán.

Los objetivos de recopilación de datos de YoroTrooper se realizan a través de una combinación de malware robador de productos básicos y de código abierto como Ave Maria (también conocido como Warzone RAT), LodaRAT, Meterpreter y Stink, con las cadenas de infección utilizando archivos de acceso directo maliciosos (LNK) y documentos señuelo envueltos en archivos ZIP o RAR que se propagan a través de spear-phishing.


Los archivos LNK funcionan como simples descargadores para ejecutar un archivo HTA recuperado de un servidor remoto, que luego se utiliza para mostrar un documento PDF de señuelo, mientras se lanza sigilosamente un cuentagotas para entregar un ladrón personalizado que utiliza Telegram como canal de exfiltración.

El uso de LodaRAT es notable, ya que indica que el malware está siendo empleado por múltiples operadores a pesar de su atribución a otro grupo llamado Kasablanka, que también se ha observado distribuyendo Ave Maria en campañas recientes dirigidas a Rusia.

Otras herramientas auxiliares implementadas por YoroTrooper consisten en shells inversos y un keylogger personalizado basado en C que es capaz de grabar pulsaciones de teclas y guardarlas en un archivo en el disco.

"Vale la pena señalar que, si bien esta campaña comenzó con la distribución de malware de productos básicos como Ave Maria y LodaRAT, ha evolucionado significativamente para incluir malware basado en Python", dijeron los investigadores.

"Esto destaca un aumento en los esfuerzos que el actor de la amenaza está realizando, probablemente derivados de violaciones exitosas durante el curso de la campaña".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta