Se ha detectado un nuevo y peligroso grupo de ciberdelincuencia que se dirige a agencias gubernamentales y organizaciones militares en la región de Asia-Pacífico.
Según varias empresas de ciberseguridad que detectaron al actor de amenazas, parece estar implementando tácticas poco ortodoxas para obtener información confidencial de los puntos finales de destino. (se abre en una pestaña nueva).
Inicialmente, dos empresas de ciberseguridad rastreaban a los atacantes: Group-IB y Anheng Hunting Labs. Mientras que el primero apodó al grupo Dark Pink, el segundo lo llama Saaiwc Group. Independientemente del nombre, los piratas informáticos utilizan ataques de spear-phishing para la implementación inicial y unidades USB infectadas para la propagación.
Abusar de defectos conocidos
Los correos electrónicos de phishing suelen ser aplicaciones de trabajo falsas diseñadas para atraer a las víctimas para que descarguen archivos ISO armados. Estos archivos abusarían de una vulnerabilidad conocida de alta gravedad rastreada como CVE-2017-0199 (vulnerabilidad de ejecución remota de código de Office/WordPad) para implementar Ctealer o Cucky (ladrones de información personalizados). Estos luego implementarían un implante de registro llamado TelePowerBot.
Se observó un método separado al implementar KamiKakaBot, diseñado para leer y ejecutar comandos.
Tanto Cucky como Ctealer están diseñados para robar contraseñas, historial de navegación, credenciales guardadas y cookies de la mayoría de los navegadores populares actuales (y algunos más). Además, el grupo puede acceder a aplicaciones de mensajería, robar documentos y capturar audio a través de micrófonos conectados a dispositivos infectados.
“Durante la infección, los actores de amenazas ejecutan varios comandos estándar (p. ej., net share, Get-SmbShare) para determinar qué recursos de red están conectados al dispositivo infectado. Si se encuentra el uso del disco de red, comenzarán a explorar este disco para encontrar archivos que puedan ser de su interés y potencialmente filtrarlos”, explicó Group-IB.
En la segunda mitad de 2022, el grupo lanzó al menos siete ataques exitosos, afirman los investigadores.
Las siete organizaciones (para las que se habían confirmado los ataques) han sido notificadas del ataque y se les han dado consejos sobre cómo proceder. Los investigadores afirman que es muy probable que el grupo haya comprometido a un número aún mayor de organizaciones, pero las confirmaciones aún están por llegar.
Vía: BleepingComputer (se abre en una pestaña nueva)