ClickCease CERT-UA informa de la campaña SickSync: Alerta crucial sobre el robo de datos

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

CERT-UA informa de la campaña SickSync: Alerta crucial sobre el robo de datos

Wajahat Raja

19 de junio de 2024 - Equipo de expertos TuxCare

Recientemente, el Equipo de Respuesta a Emergencias Informáticas de Ciberseguridad de Ucrania (CERT-UA) emitió una advertencia sobre un ciberespionaje ciberespionaje llamada SickSync, orquestada por un grupo identificado como UAC-0020 o Vermin. El sitio CERT-UA campaña SickSyncque utiliza un malware llamado SPECTR, se ha dirigido específicamente a las fuerzas de defensa ucranianas.

 

Los orígenes de la campaña SickSync 


La campaña SickSync
marca el resurgimiento de Vermin, un actor de amenazas supuestamente afiliado a las agencias de seguridad de la República Popular de Luhansk (LPR). La LPR, reconocida por Rusia como estado soberano, ha participado en anteriores actividades cibernéticas dirigidas contra entidades ucranianas.


Modus Operandi: Cómo funciona SickSync


El malware SPECTR, rastreado al menos desde 2019, funciona como un ladrón de información. Se infiltra en los sistemas a través de correos electrónicos de spear-phishing que contienen un archivo RAR protegido por contraseña llamado "turrel.fop.vovchok.rar". Dentro de este archivo, camuflado como un archivo PDF, se encuentra una versión troyanizada de la aplicación SyncThing con la carga útil SPECTR. Un script por lotes dentro del archivo activa este software malicioso tras su ejecución.


Explotación del robo de datos de SickSync


SPECTR aprovecha las capacidades de sincronización del software legítimo SyncThing para filtrar los datos robados de los ordenadores infectados. Este
ataque a la cadena de suministro SickSync establece una conexión peer-to-peer, facilitando la transmisión de información sensible incluyendo documentos, contraseñas y otras credenciales a servidores remotos controlados por los atacantes.


Amplia capacidad de recopilación de datos


Una vez instalado, SPECTR opera de forma sigilosa capturando pantallazos cada 10 segundos, cosechando archivos, extrayendo datos de unidades USB extraíbles y robando credenciales de varias aplicaciones como Element, Signal, Skype y Telegram. Estas actividades permiten un espionaje integral, comprometiendo tanto la seguridad personal como la de la organización.


Actividades y herramientas anteriores de Vermin


Vermin, conocido por sus persistentes operaciones cibernéticas contra instituciones gubernamentales ucranianas, tiene un historial que se remonta a 2015. Inicialmente identificado como
SickSync troyano de acceso remotoha evolucionado para emplear tácticas sofisticadas, incluyendo campañas de phishing y el despliegue de malware como SPECTR.


Detección de ciberataques


CERT-UA ha observado una
tendencia preocupante en la que los actores de amenazas explotan plataformas de mensajería populares como Signal para distribuir troyanos de acceso remoto como DarkCrystal RAT. Estas tácticas aprovechan la ingeniería social para engañar a los usuarios con el fin de que ejecuten archivos maliciosos, lo que pone de manifiesto la creciente sofisticación de las amenazas a la ciberseguridad. amenazas de ciberseguridad dirigidas a Ucrania.


Respuesta a las violaciones de datos


Además de SickSync, han aparecido informes recientes sobre otra campaña cibernética orquestada por hackers bielorrusos patrocinados por el Estado y denominada GhostWriter. Esta campaña utiliza documentos de Microsoft Excel con trampas explosivas para infiltrarse en los sistemas del Ministerio de Defensa ucraniano, desplegando potencialmente malware como Agent Tesla y Cobalt Strike. Eficaz
prevención de malware es esencial para mantener la higiene de la ciberseguridad y proteger los datos sensibles.


Conclusión


La aparición de SickSync pone de relieve los continuos problemas de ciberseguridad a los que se enfrenta Ucrania, en particular los que plantean las amenazas patrocinadas por el Estado. A medida que el ciberespionaje evoluciona con tácticas avanzadas y metodologías selectivas, la vigilancia y el refuerzo de las medidas de seguridad son esenciales.
medidas de seguridad reforzadas de seguridad.

Las organizaciones deben dar prioridad a la concienciación sobre ciberseguridad, mecanismos de defensa sólidos y actualizaciones oportunas para mitigar el ataque SickSync así como otros riesgos planteados por amenazas tan sofisticadas. En resumen, SickSync sirve como un duro recordatorio de las persistentes amenazas cibernéticas a las que se enfrentan las fuerzas de defensa de Ucrania y subraya la importancia crítica de la preparación en ciberseguridad para protección de datos sensibles.

Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.

Resumen
CERT-UA informa de la campaña SickSync: Alerta crucial sobre el robo de datos
Nombre del artículo
CERT-UA informa de la campaña SickSync: Alerta crucial sobre el robo de datos
Descripción
Conozca la campaña SickSync de CERT-UA dirigida a las fuerzas de defensa. Comprender las tácticas de robo de datos y las implicaciones para la ciberseguridad.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín