Una nueva campaña de spear-phishing denominada EastWind está apuntando al gobierno ruso y a organizaciones de TI. La campaña distribuye puertas traseras y troyanos a través de archivos RAR que contienen un archivo de acceso directo de Windows (LNK), desencadenando la secuencia de infección al abrirse. Entre el malware desplegado se encuentra GrewApacha, CloudSorcerer y PlugY, este último descubierto recientemente.
El malware PlugY se descarga a través de la puerta trasera CloudSorcerer y tiene un amplio conjunto de comandos con soporte para tres protocolos de comunicación con el servidor de comando y control. El vector de infección inicial se basa en un archivo LNK con técnicas de carga lateral de DLL que lanzan un archivo DLL malicioso utilizando Dropbox como mecanismo de comunicación.
GrewApacha, enlazado previamente al grupo APT31 de China, utiliza un perfil GitHub controlado por el atacante para almacenar una cadena codificada del servidor C2 real. CloudSorcerer, por otro lado, es una sofisticada herramienta de ciberespionaje utilizada para la recolección sigilosa de datos y exfiltración a través de infraestructuras en la nube como Microsoft Graph, Yandex Cloud y Dropbox.
El malware también utiliza plataformas legítimas como LiveJournal y Quora como servidor C2 inicial. Además, emplea un mecanismo de protección basado en cifrado que garantiza que el malware se active solo en la computadora de la víctima mediante una clave única derivada de la función Windows GetTickCount() en tiempo de ejecución. Por último, PlugY es una puerta trasera completamente funcional que se conecta a un servidor de gestión y tiene capacidades para ejecutar comandos de shell, monitorear la pantalla del dispositivo y registrar pulsaciones de teclas.
Los atacantes detrás de la campaña EastWind utilizan servicios de red populares como servidores de comando: GitHub, Dropbox, Quora, así como LiveJournal y Yandex Disk de Rusia. También se detalla un ataque de trampa de agua que implica comprometer un sitio legítimo relacionado con el suministro de gas en Rusia para distribuir un gusano llamado CMoon. Este gusano puede recopilar datos confidenciales y de pago, tomar capturas de pantalla, descargar malware adicional y lanzar ataques de denegación de servicio distribuido contra objetivos de interés.
Vía The Hacker News
