El grupo hacktivista conocido como Head Mare ha sido vinculado recientemente con una serie de ciberataques dirigidos exclusivamente a organizaciones situadas en Rusia y Bielorrusia.
Según un análisis realizado por Kaspersky el lunes, Head Mare utiliza métodos más actuales para obtener acceso inicial y, por ejemplo, ha aprovechado la vulnerabilidad CVE-2023-38831 en WinRAR para ejecutar código arbitrario en el sistema a través de un archivo especialmente preparado. Esto permite que el grupo entregue y disfrace de manera más efectiva la carga maliciosa.
El grupo, activo desde 2023, ataca a organizaciones rusas en el contexto del conflicto ruso-ucraniano y también tiene presencia en X, filtrando información sensible y documentación interna de las víctimas. Sus objetivos incluyen gobiernos, transporte, energía, fabricación y sectores ambientales.
A diferencia de otros grupos hacktivistas, Head Mare también cifra los dispositivos de las víctimas utilizando LockBit para Windows y Babuk para Linux (ESXi), y exige un rescate por el descifrado de datos. Su arsenal incluye PhantomDL y PhantomCore, siendo el primero un backdoor basado en Go capaz de entregar cargas adicionales y cargar archivos de interés a un servidor de comando y control (C2).
Por su parte, PhantomCore (también conocido como PhantomRAT), predecesor de PhantomDL, es un troyano de acceso remoto con características similares que permite descargar archivos del servidor C2, cargar archivos desde un host comprometido al servidor C2, así como ejecutar comandos en el intérprete de línea de comandos cmd.exe.
Según Kaspersky, el grupo también crea tareas programadas y valores de registro para disfrazar su actividad como tareas relacionadas con el software de Microsoft. Además, algunas muestras de LockBit utilizadas por el grupo se han disfrazado como aplicaciones legítimas de OneDrive y VLC, lo que indica un alto grado de sofisticación. Esencialmente, tanto LockBit como Babuk se han distribuido a través de campañas de phishing en forma de documentos comerciales con doble extensión.
Otro componente crucial de su arsenal de ataque es Sliver, un marco de comando y control de código abierto, junto con varias herramientas de acceso público, como rsockstun, ngrok y Mimikatz, que facilitan el descubrimiento, movimiento lateral y robo de credenciales.
En resumen, las tácticas, métodos, procedimientos y herramientas utilizadas por el grupo Head Mare son similares a las de otros grupos en el contexto del conflicto ruso-ucraniano, pero se distinguen por el uso de malware personalizado y la explotación de una vulnerabilidad relativamente nueva, CVE-2023-38831, para infiltrar la infraestructura de las víctimas en campañas de phishing.
Vía The Hacker News
