Una nueva campaña de ataque dirigida a Azerbaiyán e Israel, detectada por NSFOCUS el 1 de julio de 2024, ha sido atribuida a un actor amenazante previamente desconocido conocido como Actor240524. La campaña utilizó correos electrónicos de spear-phishing para señalar a diplomáticos azerbaiyanos e israelíes.
Según un análisis de la empresa de ciberseguridad, «Actor240524 posee la capacidad de robar secretos y modificar datos de archivos, utilizando una variedad de contramedidas para evitar la sobreexposición de tácticas y técnicas de ataque».
La campaña comienza con el envío de correos electrónicos de phishing que contienen documentos de Microsoft Word. Al abrirlos, se insta a los destinatarios a «habilitar contenido» y ejecutar un macro malicioso responsable de ejecutar una carga útil de intermediarios llamada ABCloader («MicrosoftWordUpdater.log«).
Posteriormente, ABCloader actúa como un conducto para descifrar y cargar un malware de DLL llamado ABCsync («synchronize.dll»), que luego establece contacto con un servidor remoto («185.23.253[.]143«) para recibir y ejecutar comandos.
ABCsync realiza varias técnicas de anti-sandbox y anti-análisis para la detección del entorno, ejecutando shells remotos, comandos utilizando cmd.exe y extrayendo información del sistema y otros datos.
Tanto ABCloader como ABCsync emplean técnicas de encriptación de cadenas para ocultar rutas de archivos importantes. Además, realizan controles para determinar si los procesos están siendo depurados o ejecutados en una máquina virtual o sandbox validando la resolución de pantalla.
Otro aspecto destacado es que Actor240524 inspecciona si el número de procesos en el sistema comprometido es inferior a 200 y, si es así, finaliza el proceso malicioso.
ABCloader también lanza un cargador similar llamado «synchronize.exe» y un archivo DLL capaz de establecer persistencia en el host.
Según NSFOCUS, «Azerbaiyán e Israel son países aliados con estrechos intercambios económicos y políticos». Por lo tanto, la operación de Actor240524 probablemente apunta a la relación de cooperación entre los dos países, apuntando a ataques de phishing en personal diplomático de ambas naciones.
Vía The Hacker News