¡Claro, lo puedo hacer! Aquí está la versión optimizada para SEO:
Investigadores de ciberseguridad descubrieron una operación dirigida a Ucrania que explota una falla de casi siete años en Microsoft Office para propagar Cobalt Strike en sistemas comprometidos.
La cadena de ataques, detectada por Deep Instinct, emplea un archivo de presentación de PowerPoint («signal-2023-12-20-160512.ppsx») como punto de partida. Aunque el nombre del archivo sugiere una posible relación con la aplicación de mensajería instantánea Signal, no hay evidencia concreta que indique que el archivo se distribuyó de esta manera.
El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) descubrió que las fuerzas armadas ucranianas son cada vez más objetivo del grupo UAC-0184 a través de plataformas de mensajería y citas para distribuir malware, incluyendo HijackLoader, XWorm, Remcos RAT, sigtop y tusc.
Según el investigador de seguridad Ivan Kosarev, el archivo PPSX parece ser un manual de instrucciones del Ejército de EE. UU. para cuchillas de desactivación de minas con una relación remota con un objeto OLE externo, implicando la explotación de CVE-2017-8570, una vulnerabilidad ya parchada que permitiría a un atacante realizar acciones arbitrarias.
El script, altamente ofuscado, lanza un archivo HTML que establece una persistencia en el host a través del Registro de Windows y genera una carga útil de próxima etapa. La carga incluye una biblioteca de vínculos dinámicos (DLL) que inyecta un Beacon de Cobalt Strike pirateado en la memoria del sistema y espera instrucciones adicionales de un servidor de control de comandos (C2) («petapixel[.]fun«).
Deep Instinct no pudo vincular los ataques a un actor o grupo de amenazas específicos. También es poco claro el objetivo final de la intrusión.
Además, CERT-UA reveló que alrededor de 20 proveedores de energía en Ucrania han sido objetivo de un grupo respaldado por el estado ruso llamado UAC-0133, un subgrupo de Sandworm. Este grupo es responsable de operaciones disruptivas y destructivas contra el país, utilizando malware como Kapeka, BIASBOAT, GOSSIPFLOW y LOADGRIP.
Sandworm está vinculado a la Unidad 74455 dentro de la Dirección Principal del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU) y está activo desde al menos 2009. El adversario también está relacionado con tres hackers de hackeo y filtración.
Mandiant describió a APT44 como un actor de amenazas activamente involucrado en operaciones de espionaje, ataque y manipulación, comprometido en un esfuerzo multifacético para ayudar a Rusia a obtener una ventaja en tiempo de guerra desde enero de 2022.
Vía The Hacker News
