CERT-UA informa de la campaña SickSync: Alerta crucial sobre el robo de datos
Recientemente, el Equipo de Respuesta a Emergencias Informáticas de Ciberseguridad de Ucrania (CERT-UA) emitió una advertencia sobre un ciberespionaje ciberespionaje llamada SickSync, orquestada por un grupo identificado como UAC-0020 o Vermin. El sitio CERT-UA campaña SickSyncque utiliza un malware llamado SPECTR, se ha dirigido específicamente a las fuerzas de defensa ucranianas.
Los orígenes de la campaña SickSync
La campaña SickSync marca el resurgimiento de Vermin, un actor de amenazas supuestamente afiliado a las agencias de seguridad de la República Popular de Luhansk (LPR). La LPR, reconocida por Rusia como estado soberano, ha participado en anteriores actividades cibernéticas dirigidas contra entidades ucranianas.
Modus Operandi: Cómo funciona SickSync
El malware SPECTR, rastreado al menos desde 2019, funciona como un ladrón de información. Se infiltra en los sistemas a través de correos electrónicos de spear-phishing que contienen un archivo RAR protegido por contraseña llamado "turrel.fop.vovchok.rar". Dentro de este archivo, camuflado como un archivo PDF, se encuentra una versión troyanizada de la aplicación SyncThing con la carga útil SPECTR. Un script por lotes dentro del archivo activa este software malicioso tras su ejecución.
Explotación del robo de datos de SickSync
SPECTR aprovecha las capacidades de sincronización del software legítimo SyncThing para filtrar los datos robados de los ordenadores infectados. Este ataque a la cadena de suministro SickSync establece una conexión peer-to-peer, facilitando la transmisión de información sensible incluyendo documentos, contraseñas y otras credenciales a servidores remotos controlados por los atacantes.
Amplia capacidad de recopilación de datos
Una vez instalado, SPECTR opera de forma sigilosa capturando pantallazos cada 10 segundos, cosechando archivos, extrayendo datos de unidades USB extraíbles y robando credenciales de varias aplicaciones como Element, Signal, Skype y Telegram. Estas actividades permiten un espionaje integral, comprometiendo tanto la seguridad personal como la de la organización.
Actividades y herramientas anteriores de Vermin
Vermin, conocido por sus persistentes operaciones cibernéticas contra instituciones gubernamentales ucranianas, tiene un historial que se remonta a 2015. Inicialmente identificado como SickSync troyano de acceso remotoha evolucionado para emplear tácticas sofisticadas, incluyendo campañas de phishing y el despliegue de malware como SPECTR.
Detección de ciberataques
CERT-UA ha observado una tendencia preocupante en la que los actores de amenazas explotan plataformas de mensajería populares como Signal para distribuir troyanos de acceso remoto como DarkCrystal RAT. Estas tácticas aprovechan la ingeniería social para engañar a los usuarios con el fin de que ejecuten archivos maliciosos, lo que pone de manifiesto la creciente sofisticación de las amenazas a la ciberseguridad. amenazas de ciberseguridad dirigidas a Ucrania.
Respuesta a las violaciones de datos
Además de SickSync, han aparecido informes recientes sobre otra campaña cibernética orquestada por hackers bielorrusos patrocinados por el Estado y denominada GhostWriter. Esta campaña utiliza documentos de Microsoft Excel con trampas explosivas para infiltrarse en los sistemas del Ministerio de Defensa ucraniano, desplegando potencialmente malware como Agent Tesla y Cobalt Strike. Eficaz prevención de malware es esencial para mantener la higiene de la ciberseguridad y proteger los datos sensibles.
Conclusión
La aparición de SickSync pone de relieve los continuos problemas de ciberseguridad a los que se enfrenta Ucrania, en particular los que plantean las amenazas patrocinadas por el Estado. A medida que el ciberespionaje evoluciona con tácticas avanzadas y metodologías selectivas, la vigilancia y el refuerzo de las medidas de seguridad son esenciales. medidas de seguridad reforzadas de seguridad.
Las organizaciones deben dar prioridad a la concienciación sobre ciberseguridad, mecanismos de defensa sólidos y actualizaciones oportunas para mitigar el ataque SickSync así como otros riesgos planteados por amenazas tan sofisticadas. En resumen, SickSync sirve como un duro recordatorio de las persistentes amenazas cibernéticas a las que se enfrentan las fuerzas de defensa de Ucrania y subraya la importancia crítica de la preparación en ciberseguridad para protección de datos sensibles.
Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.