El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha emitido una alerta sobre una nueva campaña de phishing orquestada por el grupo APT28, presuntamente vinculado con Rusia, con el objetivo de desplegar malware previamente no documentado, como OCEANMAP, MASEPIE y STEELHOOK, para recolectar información sensible.
La actividad fue detectada por la agencia entre el 15 y el 25 de diciembre de 2023, y tiene como blancos a entidades gubernamentales a través de mensajes de correo electrónico que exhortan a los destinatarios a hacer clic en un enlace para visualizar un documento.
No obstante, en realidad, estos enlaces redirigen a recursos web maliciosos que abusan de JavaScript y del controlador de protocolo «search-ms:» URI para descargar un archivo de acceso directo de Windows (LNK) que lanza comandos de PowerShell para activar una cadena de infección para un nuevo malware conocido como MASEPIE.
MASEPIE es una herramienta basada en Python para descargar/cargar archivos y ejecutar comandos, con comunicaciones con el servidor de control (C2) que se llevan a cabo a través de un canal cifrado utilizando el protocolo TCP.
Los ataques allanan el camino para la implementación de malware adicional, incluyendo un script de PowerShell llamado STEELHOOK que es capaz de recolectar datos del navegador web y exportarlos a un servidor controlado por el actor en formato codificado en Base64.
También se entrega un backdoor basado en C# llamado OCEANMAP diseñado para ejecutar comandos utilizando cmd.exe.
«CERT-UA» señaló que se usa el protocolo IMAP como canal de control y que la persistencia se logra creando un archivo URL llamado «VMSearch.url» en la carpeta de inicio de Windows.
«Los comandos, en forma codificada en Base64, se encuentran en los ‘Borradores’ de los correspondientes directorios de correo; cada uno de los borradores contiene el nombre de la computadora, el nombre del usuario y la versión del sistema operativo. Los resultados de los comandos se almacenan en el directorio de entrada», indicó la agencia.
Además, la agencia señaló que la recolección de información y las actividades de movimiento lateral se llevan a cabo dentro de una hora de la compromisión inicial aprovechando herramientas como Impacket y SMBExec.
La divulgación se produce semanas después de que IBM X-Force revelara el uso de señuelos relacionados con la guerra Israel-Hamas en curso por APT28 para facilitar la entrega de una puerta trasera personalizada llamada HeadLace.
En las últimas semanas, el prolífico grupo de hackers respaldado por el Kremlin también ha sido atribuido a la explotación de una falla de seguridad crítica en su servicio de correo electrónico Outlook (CVE-2023-23397, puntuación CVSS: 9.8) para acceder sin autorización a las cuentas de las víctimas dentro de los servidores de Exchange.
