ClickCease NoticiasUn ataque de phishing dirigido a secretos marítimos y militares

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

NoticiasUn ataque de phishing dirigido a secretos marítimos y militares

24 de febrero de 2023 - Equipo de RRPP de TuxCare

Según investigadores de Blackberry, una nueva campaña de phishing apodada "NewsPenguin" lleva meses teniendo como objetivo el complejo militar-industrial de Pakistán, utilizando una herramienta de malware avanzada para robar información sensible. La campaña, que se cree que está patrocinada por el Estado, lleva en marcha al menos desde diciembre de 2022.

"El atacante envió correos electrónicos de phishing dirigidos con un documento armado adjunto que pretende ser un manual de expositor para PIMEC-23", dijo el Equipo de Investigación e Inteligencia de BlackBerry.

PIMEC, siglas de Exposición y Conferencia Marítima Internacional de Pakistán, es una iniciativa de la Marina de Pakistán organizada por el Ministerio de Asuntos Marítimos con el objetivo de "impulsar el desarrollo del sector marítimo". La campaña parecía estar más preocupada por recabar información y exfiltrar datos que por causar daños inmediatos a las víctimas.

La campaña emplea sofisticados conjuntos de herramientas diseñados para evitar ser detectados por las medidas de seguridad tradicionales. El malware y los troyanos de acceso remoto (RAT) del conjunto de herramientas se utilizaban para acceder a los sistemas de las víctimas y robar datos confidenciales. Newspenguin emplea diversas técnicas para eludir la detección, como el uso de cargas útiles cifradas y la generación dinámica de dominios para las comunicaciones de mando y control (C2).

Los atacantes utilizaron malware de la familia "Zodiac", conocido por su capacidad para evitar ser detectado por el software antivirus. Además, los atacantes utilizaron "IceLog", un keylogger utilizado para robar información sensible, y "Gh0stRAT", una herramienta de acceso remoto que permitió a los atacantes tomar el control del sistema de la víctima. Los atacantes también emplean el malware Glacier, diseñado para evitar ser detectado por las soluciones antivirus tradicionales.

Mientras que los investigadores de Blackberry creen que Newspenguin está utilizando una nueva cepa de malware conocida como "PenguSpy". Este malware está diseñado para evitar la detección y recopilar información de los sistemas infectados, incluido el robo de contraseñas y la captura de pantallas.

Incluye un documento "Important Document.doc" que utiliza una técnica de inyección remota de plantillas. Cuando el objetivo lo abre, recupera la muestra de la siguiente fase desde hxxp[:]/windowsupdates[.]shop/test[.]dotx. El dominio se había resuelto a 51.222.103[.] cuando lo descubrimos. 8. El servidor de carga maliciosa está configurado para que sólo devuelva el archivo si la dirección IP del usuario está dentro del rango de IP de Pakistán. Cuando la víctima hace clic en "Activar contenido", se ejecuta un código de macro VBA. El código de macro VBA malicioso guarda el archivo "test.dotx" como "abc.wsf" en la carpeta "C:WindowsTasks" del usuario.

A continuación, el script determina si la máquina infectada ejecuta Windows® 7 o 10 y guarda la versión como nombre de trabajo para la siguiente instrucción.

 

Las fuentes de este artículo incluyen un artículo en DarkReading.

Vea esta noticia en nuestro canal de Youtube: https://www.youtube.com/watch?v=ycO6hVmt5R4&t=6s

Resumen
NoticiasUn ataque de phishing dirigido a secretos marítimos y militares
Nombre del artículo
NoticiasUn ataque de phishing dirigido a secretos marítimos y militares
Descripción
Una nueva campaña de phishing apodada "NewsPenguin" lleva meses apuntando al complejo militar-industrial de Pakistán.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín