Un análisis reciente de las firmas de ciberseguridad Symantec y Carbon Black revela que los actores de amenazas vinculados a Rusia han llevado a cabo campañas sofisticadas contra entidades ucranianas basándose en técnicas de vida fuera de la tierra y un malware mínimo. Estas operaciones se han dirigido a una importante organización de servicios empresariales durante dos meses y a un organismo gubernamental local durante una semana, según los hallazgos.
Los ataques comenzaron con la implementación de web shells en servidores públicos dentro de la red de la organización empresarial, probablemente después de la explotación de una o más vulnerabilidades sin parches. Una vez que se estableció el acceso, los atacantes utilizaron herramientas nativas como PowerShell para evadir la detección, configurando tareas programadas y creando volcados de memoria cada treinta minutos.
Entre las herramientas utilizadas por los intrusos se encontraba “LocalOlive”, un web-shell previamente atribuido a un subgrupo del equipo Sandworm vinculado a Rusia dentro de lo que se conoce como la campaña BadPilot. A pesar de esta conexión, los investigadores aún no han encontrado pruebas definitivas de que la campaña sea parte de las actividades de Sandworm.
Los atacantes también ejecutaron comandos para enumerar los procesos en ejecución que comenzaban con “kee”, lo que sugiere que probablemente estaban apuntando a la bóveda del administrador de contraseñas KeePass. Luego instalaron software como OpenSSH, modificaron las reglas de tráfico de red, crearon tareas programadas para puertas traseras e introdujeron una herramienta legítima de administración de enrutadores llamada “winbox64.exe” para enmascarar la actividad maliciosa.
Esta operación se enmarca dentro de un patrón más amplio de delitos electrónicos de origen ruso en el que los actores de amenazas utilizan huellas mínimas y dependen en gran medida de herramientas legítimas del sistema en lugar de malware obvio. El objetivo parece ser el acceso persistente y el robo de datos en lugar de la interrupción inmediata. Los investigadores describen cómo los atacantes pueden aprovechar el conocimiento profundo del ecosistema de Windows para ingresar, moverse lateralmente, robar credenciales y evitar la detección durante períodos prolongados.
El informe señala que uno de los desafíos clave para responder a tales ataques es el uso de utilidades nativas en lugar de binarios de explotación personalizados. Cuando las operaciones se ejecutan utilizando herramientas ya presentes en el entorno, pueden eludir muchas soluciones tradicionales de seguridad de endpoints que se centran en detectar amenazas externas o malware conocido.
Si bien el análisis no identificó con certeza a un actor criminal específico o grupo de amenazas, la evidencia sugiere que es probable que una organización con sede en Rusia, o al menos una que opere desde esa región, esté detrás de la campaña. Los expertos advierten que a medida que crece la presión de las fuerzas del orden y la inteligencia, estos actores de amenazas operan cada vez más como empresas, utilizando herramientas de doble uso y adoptando huellas mínimas para permanecer por debajo de los umbrales de detección.
Para las organizaciones que operan en Ucrania y más allá, el incidente subraya la importancia de monitorear el uso de herramientas nativas, revisar las tareas programadas y auditar los protocolos de acceso remoto. Los equipos de defensa deben asumir que los atacantes ya pueden estar dentro de sus redes, utilizando herramientas legítimas del sistema para muestrear datos y moverse silenciosamente. La ejecución rápida de la gestión de vulnerabilidades, el monitoreo del comportamiento y el registro mejorado son esenciales para prevenir o detectar estas campañas de bajo perfil.
Estos hallazgos se producen a medida que evoluciona el panorama de las amenazas cibernéticas, con una creciente superposición entre las operaciones de los estados-nación y el crimen organizado. Aunque esta campaña en particular parece centrarse en el robo en lugar del sabotaje inmediato, las mismas tácticas podrían aplicarse a la infraestructura crítica, las cadenas de suministro o los sectores donde se valora mucho el acceso persistente.
Site Disclaimer
2-remove-virus.com is not sponsored, owned, affiliated, or linked to malware developers or distributors that are referenced in this article. The article does not promote or endorse any type of malware. We aim at providing useful information that will help computer users to detect and eliminate the unwanted malicious programs from their computers. This can be done manually by following the instructions presented in the article or automatically by implementing the suggested anti-malware tools.
The article is only meant to be used for educational purposes. If you follow the instructions given in the article, you agree to be contracted by the disclaimer. We do not guarantee that the artcile will present you with a solution that removes the malign threats completely. Malware changes constantly, which is why, in some cases, it may be difficult to clean the computer fully by using only the manual removal instructions.