Un sofisticado ciberataque dirigido a endpoints en Ucrania ha sido descubierto, con el propósito de implementar Cobalt Strike y tomar el control de los hosts comprometidos. De acuerdo con Fortinet FortiGuard Labs, la cadena de ataque involucra un archivo de Microsoft Excel con una macro VBA incrustada para iniciar la infección.
Según la investigadora de seguridad Cara Lin, el ataque emplea una estrategia de malware de varias etapas para entregar la carga útil de Cobalt Strike y establecer comunicación con un servidor de comando y control (C2). Cobalt Strike, desarrollado por Fortra, es una herramienta legítima de simulación adversaria utilizada para operaciones de red teaming que ha sido ampliamente explotada por actores maliciosos.
El ataque comienza con un documento de Excel que muestra contenido en ucraniano y solicita a la víctima «habilitar contenido» para activar las macros. Una vez habilitadas, el documento muestra contenido relacionado con fondos asignados a unidades militares, mientras que en segundo plano, la macro codificada en HEX despliega un descargador basado en DLL a través del servicio de registro.
El descargador monitorea los procesos relacionados con Avast Antivirus y Process Hacker, autoeliminándose si los detecta. Luego, se comunica con un servidor remoto para recuperar la carga útil codificada en un archivo DLL, pero solo si el dispositivo está en Ucrania. Este archivo es responsable de lanzar otro DLL, necesario para extraer y ejecutar el malware final.
El ataque culmina con el despliegue de un Beacon de Cobalt Strike que se conecta a un servidor de C2. Según Lin, el atacante implementa controles basados en la ubicación para ocultar actividades sospechosas, aprovechando cadenas codificadas y tácticas de evasión para eludir el escrutinio de los analistas.
Vía The Hacker News
