Fallo en WinRAR: El malware LONEPAGE ataca a empresas ucranianas
En el ámbito de la ciberseguridad, la vigilancia es primordial, y los últimos acontecimientos revelan una amenaza persistente a la que se enfrentan las entidades ucranianas. En mediados deel CERT ucraniano emitió el aviso #6710, desenmascarando a un actor de amenazas identificado como "UAC-0099". "UAC-0099". Las actividades de este actor y su arsenal de herramientas se describían sucintamente en el aviso. En esta entrada del blog, examinaremos los intrincados detalles de la persistente amenaza para la ciberseguridad que representa el malware LONEPAGE. También desvelaremos sus tácticas y la evolución del panorama de los ataques selectivos contra empresas ucranianas.
Malware LONEPAGE: El asalto continuado de UAC-0099 a Ucrania
Desde la publicación del aviso de CERT-UA, Deep Instinct ha descubierto nuevos ataques de malware a ataques de malware orquestados por UAC-0099, dirigidos específicamente a entidades ucranianas. En particular, UAC-0099 emplea una estrategia astuta, desplegando citaciones judiciales fabricadas para atraer a objetivos desprevenidos en Ucrania para que ejecuten archivos maliciosos. La ciberseguridad de las empresas ucranianas es una prioridad máxima en el panorama digital en constante evolución, que requiere estrategias sólidas para mitigar los riesgos y fortalecer las defensas contra las ciberamenazas emergentes.
Exploits UAC-0099 y WinRAR
UAC-0099 ha estado implicado en una serie de ataques contra Ucrania, aprovechando un fallo crítico del software WinRAR para propagar el malware malware LONEPAGE. Según la empresa de ciberseguridad Deep Instinct, este actor de amenazas ha puesto sus miras en empleados ucranianos afiliados a empresas internacionales.
En un análisis detallado, Deep Instinct reveló que los vectores de ataque de UAC-0099 abarcan mensajes de phishing que contienen archivos adjuntos HTA, RAR y LNK. Estos archivos adjuntos, cuando se activan, activan el despliegue de LONEPAGE, un malware de Visual Basic Script (VBS). LONEPAGE tiene la capacidad de establecer comunicación con un servidor de mando y control (C2), lo que le permite obtener cargas útiles adicionales, como keyloggers, ladrones y malware de captura de pantalla.
Cronología de la intrusión
Los orígenes de UAC-0099 se remontan a junio de 2023, cuando CERT-UA documentó por primera vez las actividades del actor de la amenaza. El informe relacionado con estas tendencias en ciberseguridad destacaba los ataques de espionaje de UAC-0099 contra organizaciones estatales y medios de comunicación de Ucrania. Preocupantemente, el acceso remoto no autorizado a numerosos ordenadores en Ucrania se produjo durante el período de 2022 a 2023. Ante esto, se puede afirmar que implementar rigurosas medidas de seguridad de datos es crucial para salvaguardar la información sensible.
Diversos vectores de ataque
El último análisis de Deep Instinct revela tres cadenas de infección distintas empleadas por UAC-0099. La primera implica archivos adjuntos HTA, mientras que las otras dos aprovechan archivos autoextraíbles (SFX) y archivos ZIP maliciosos. En el caso de los archivos ZIP, UAC-0099 aprovecha la vulnerabilidad de WinRAR (CVE-2023-38831, puntuación CVSS: 7,8) para difundir el malware malware LONEPAGE.
Tácticas engañosas
El archivo SFX alberga un acceso directo LNK camuflado como un archivo DOCX de una citación judicial. Utilizando el icono de Microsoft WordPad, el autor de la amenaza atrae a las víctimas para que abran el archivo, lo que lleva a la ejecución de código PowerShell malicioso que deja caer el malware LONEPAGE.
La segunda secuencia de ataque implica un archivo ZIP meticulosamente diseñado susceptible a CVE-2023-38831. Deep Instinct identificó dos de estos artefactos creados por UAC-0099 el 5 de agosto de 2023, apenas tres días después de que WinRAR publicara un parche para la vulnerabilidad. A pesar de los distintos vectores de infección iniciales, el método de infección principal sigue siendo el mismo, basado en PowerShell y la creación de una tarea programada que ejecuta un archivo VBS.
Panorama de las ciberamenazas: Una nueva ola
Coincidiendo con estas revelaciones, CERT-UA emitió una advertencia sobre una nueva oleada de mensajes de phishing que se hacen pasar por cuotas pendientes de Kyivstar. Estos mensajes pretenden propagar un troyano de acceso remoto conocido como Remcos RAT, y la campaña se atribuye a UAC-0050. Las vulnerabilidades de WinRAR suponen un importante riesgo para la ciberseguridad, lo que subraya la importancia de aplicar rápidamente parches y adoptar medidas proactivas para proteger los sistemas y evitar posibles ataques.
Conclusión
El panorama de las ciberamenazas 2023 es dinámico, y las actividades de UAC-0099 subrayan la necesidad de una vigilancia inquebrantable. Comprender sus tácticas y las vulnerabilidades que explotan es crucial para reforzar las defensas. Las organizaciones, especialmente las que tienen vínculos con Ucrania, deben dar prioridad a las medidas de ciberseguridad para frustrar la evolución de los incidentes de ciberseguridad ucranianos. incidentes de ciberseguridad ucranianos y garantizar la seguridad de su infraestructura digital. A medida que evoluciona el panorama de la ciberseguridad, mantenerse informado y garantizar las buenas prácticas de ciberseguridad siguen siendo la clave para protegerse contra estas amenazas insidiosas.
Las fuentes de este artículo incluyen artículos en The Hacker News y Instinto Profundo.