ClickCease Malware personalizado COLDRIVER: los hackers evolucionan sus tácticas de ataque

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Malware personalizado COLDRIVER: los hackers evolucionan sus tácticas de ataque

Wajahat Raja

2 de febrero de 2024 - Equipo de expertos TuxCare

En los últimos acontecimientos en materia de ciberseguridad, el malware personalizado COLDRIVER. Un conocido grupo de hackers, COLDRIVER, ha llevado sus tácticas de ataque a un nuevo nivel, desplegando un malware personalizado llamado "Proton-decrypter.exe". Esta elección de nomenclatura es significativa, ya que Microsoft había revelado anteriormente que el adversario utilizaba predominantemente Proton Drive para enviar señuelos PDF a través de mensajes de phishing. En esta entrada del blog, exploraremos el malware personalizado COLDRIVERprofundizando en la evolución de las tácticas de ataque y descubriendo aspectos cruciales del panorama de la ciberseguridad.

Engaño de Proton Drive

Los investigadores del Grupo de Análisis de Amenazas de Google (TAG) revelaron a The Hacker News que el documento PDF utilizado en el ataque estaba alojado en Proton Drive. Curiosamente, los atacantes afirman que la herramienta está pensada para descifrar archivos alojados en esta plataforma en la nube. Sin embargo, la realidad es mucho más siniestra. El supuesto descifrador es, de hecho, una puerta trasera llamada SPICA. En objetivos de alto perfil en los ataques COLDRIVER conceden a los actores de la amenaza acceso encubierto a las máquinas objetivo al tiempo que muestran un documento señuelo para engañar y mantener al usuario.

De Scout a SPICA

Descubrimientos anteriores de WithSecure (antes F-Secure) arrojaron luz sobre el uso por parte de COLDRIVER de una puerta trasera ligera llamada Scout. Esta herramienta de malware, procedente de la plataforma de pirateo Galileo de HackingTeam Remote Control System (RCS), se observó en campañas de spear-phishing ya en 2016. Scout sirve como herramienta de reconocimiento inicial, recopilando información básica del sistema y capturas de pantalla y permitiendo la instalación de malware adicional.

 

El último desarrollo, SPICA, representa el primer malware personalizado de COLDRIVER. Aprovecha JSON a través de WebSockets para comando y control (C2)Permite la ejecución de comandos shell arbitrarios, el robo de cookies de navegadores web, la carga y descarga de archivos, y la enumeración y extracción de archivos. La persistencia se mantiene mediante el uso de una tarea programada.

Malware SPICA de COLDRIVER

Al ejecutarse, SPICA descodifica un PDF incrustado, lo escribe en el disco y lo abre como señuelo para el usuario. Simultáneamente, en segundo plano, establece la persistencia e inicia el bucle principal C2, a la espera de órdenes para su ejecución. La sofisticación de SPICA malware radica en su versatilidad, que permite al hacker realizar una serie de actividades maliciosas en el sistema comprometido.

 

Amplia cronología de la campaña

Las pruebas sugieren que el uso de SPICA por parte de COLDRIVER se remonta a noviembre de 2022. El brazo de ciberseguridad ha identificado múltiples variantes del "encriptado" PDF, lo que indica la existencia de diferentes versiones de SPICA adaptadas para coincidir con el documento señuelo enviado a objetivos específicos. Estos sectores objetivo de los ataques COLDRIVER sugieren un enfoque estratégico y evolutivo por parte del actor del Estado-nación.

Ataques limitados y selectivos

Aunque Google TAG no tiene visibilidad sobre el número exacto de víctimas comprometidas con éxito con SPICA, sospechan de su despliegue en "ataques muy limitados y selectivos". El objetivo parecen ser individuos de alto perfil en organizaciones no gubernamentales (ONG), antiguos funcionarios de inteligencia y militares, sectores de defensa y gobiernos de la OTAN. Esta precisión en la selección de objetivos implica un esfuerzo concertado por parte de COLDRIVER para perseguir objetivos estratégicos.

Malware personalizado COLDRIVER - Respuesta internacional

La revelación se produce un mes después de que los gobiernos del Reino Unido y Estados Unidos impusieran sanciones a dos miembros rusos de COLDRIVER, Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets, por su implicación en operaciones de spear-phishing. La empresa francesa de ciberseguridad Sekoia ha expuesto además los vínculos entre Korinets y la infraestructura conocida utilizada por el grupo, que comprende numerosos dominios de phishing y múltiples servidores.

Desenmascarar a Calisto

Sekoia sugiere que Andrey Stanislavovich Korinets, un miembro clave de COLDRIVER, tiene experiencia en el registro de dominios, una habilidad probablemente utilizada por la inteligencia rusa, ya sea directamente o a través de una relación de contratista. Esto ha llevado a la identificación del evolución del grupo de hackers COLDRIVER y las actividades de apoyo a los intereses estratégicos de Moscú, con Sekoia revelando que "Calisto" una de las herramientas utilizadas por COLDRIVER, contribuye a los esfuerzos de la inteligencia rusa.

Contramedidas

En respuesta a la amenaza en curso, Google TAG ha tomado medidas proactivas para interrumpir el campaña de malware personalizado COLDRIVER COLDRIVER. Han añadido todos los sitios web, dominios y archivos conocidos asociados con el grupo de piratas informáticos a las listas de bloqueo de navegación segura. Aunque se desconoce el impacto exacto en el número de víctimas comprometidas, estos esfuerzos tienen como objetivo evitar que COLDRIVER siga explotando la amenaza.

 

Las aplicaciones web se basan a menudo en scripts del lado del servidor para procesar y gestionar datos, mejorando la funcionalidad y la interactividad de la experiencia del usuario. Sin embargo, es esencial aplicar medidas de seguridad sólidas a los scripts del lado del servidor para protegerse de posibles vulnerabilidades y garantizar un entorno en línea seguro para los usuarios.

Conclusión

La evolución de las tácticas de COLDRIVER subraya la necesidad de persistente ciberseguridad ciberseguridad. El despliegue de SPICA, una puerta trasera personalizada, significa una escalada en la sofisticación, permitiendo una amplia gama de actividades maliciosas. A medida que se intensifica la colaboración internacional para contrarrestar estas amenazas, la comunidad de la ciberseguridad se mantiene alerta en sus esfuerzos por proteger a las personas y organizaciones de alto perfil del panorama en constante evolución de los ciberataques.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y TechCrunch.

Resumen
Malware personalizado COLDRIVER: los hackers evolucionan sus tácticas de ataque
Nombre del artículo
Malware personalizado COLDRIVER: los hackers evolucionan sus tácticas de ataque
Descripción
Sumérjase en el reino del malware personalizado COLDRIVER. Descubra la evolución de las tácticas de ataque del grupo de hackers. Mantente informado, mantente seguro.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín