Un actor de amenazas conocido por atacar repetidamente a organizaciones en Ucrania con la herramienta de control y vigilancia remota RemcosRAT está de vuelta, esta vez con una nueva táctica para transferir datos sin activar sistemas de respuesta y detección de puntos finales.

El adversario, identificado como UNC-0050, se centra en entidades gubernamentales ucranianas en su última campaña. Los investigadores de Uptycs que lo detectaron dijeron que los ataques pueden tener motivaciones políticas, con el objetivo de recopilar inteligencia específica de agencias gubernamentales ucranianas. "Si bien la posibilidad de un patrocinio estatal sigue siendo especulativa, las actividades del grupo plantean un riesgo innegable, especialmente para los sectores gubernamentales que dependen de los sistemas Windows", afirman los investigadores de Uptycs Karthickkumar Kathiresan y Shilpesh Trivedi. escribió en un informe esta semana.

La amenaza RemcosRAT

Los actores de amenazas han estado usando RemcosRAT – que comenzó como una herramienta legítima de administración remota – para controlar sistemas comprometidos desde al menos 2016. Entre otras cosas, la herramienta permite a los atacantes recopilar y filtrar información del sistema, del usuario y del procesador. Puede evitar muchas herramientas antivirus y de detección de amenazas para endpoints y ejecutar una variedad de comandos de puerta trasera. En muchos casos, los actores de amenazas han distribuido el malware en archivos adjuntos en correos electrónicos de phishing.

Uptycs aún no ha podido determinar el vector de ataque inicial en la última campaña, pero dijo que se inclina hacia el phishing y los correos electrónicos no deseados con temas laborales como el método más probable de distribución de malware. El proveedor de seguridad basó sus evaluaciones en correos electrónicos que revisó y que pretendían ofrecer al personal militar ucraniano objetivo funciones de consultoría en las Fuerzas de Defensa de Israel.

La cadena de infección en sí comienza con un archivo .lnk que recopila información sobre el sistema comprometido y luego recupera una aplicación HTML llamada 6.hta de un servidor remoto controlado por un atacante utilizando un binario nativo de Windows, dijo Uptycs. La aplicación recuperada contiene un script de PowerShell que inicia los pasos para descargar otros dos archivos de carga útil (word_update.exe y ofer.docx) de un dominio controlado por el atacante y, en última instancia, instalar RemcosRAT en el sistema.

Una táctica algo rara

Lo que hace que la nueva campaña de UNC-0050 sea diferente es el uso por parte del actor de amenazas de un Comunicaciones entre procesos de Windows característica llamada canalizaciones anónimas para transferir datos en sistemas comprometidos. Como lo describe Microsoft, una canalización anónima es un canal de comunicación unidireccional para transferir datos entre un proceso principal y un proceso secundario. UNC-0050 está aprovechando la función para canalizar datos de forma encubierta sin activar ningún EDR o alertas de antivirus, dijeron Kathiresan y Trivedi.

UNC-0050 no es el primer actor de amenazas que utiliza tuberías para filtrar datos robados, pero la táctica sigue siendo relativamente rara, señalaron los investigadores de Uptycs. "Aunque no es del todo nueva, esta técnica marca un salto significativo en la sofisticación de las estrategias del grupo", dijeron.

Esta no es la primera vez que los investigadores de seguridad detectan que UAC-0050 intenta distribuir RemcosRAT a objetivos en Ucrania. El año pasado, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) advirtió en múltiples ocasiones sobre campañas del actor de amenazas para distribuir el troyano de acceso remoto a organizaciones del país.

El más reciente fue un aviso el 21 de diciembre de 2023, sobre una campaña masiva de phishing que involucraba correos electrónicos con un archivo adjunto que supuestamente era un contrato que involucraba a Kyivstar, uno de los proveedores de telecomunicaciones más grandes de Ucrania. A principios de diciembre, CERT-UA advirtió sobre otro Distribución masiva de RemcosRAT campaña, esta involucraba correos electrónicos que pretendían ser sobre “reclamaciones judiciales” y “deudas” dirigidas a organizaciones e individuos en Ucrania y Polonia. Los correos electrónicos contenían un archivo adjunto en forma de archivo de almacenamiento o archivo RAR.

CERT-UA emitió alertas similares en otras tres ocasiones el año pasado, una en noviembre con correos electrónicos con temas de citaciones judiciales como vehículo de entrega inicial; otro, también en noviembre, con correos electrónicos supuestamente del servicio de seguridad de Ucrania; y el primero en febrero de 2023 sobre una campaña masiva de correo electrónico con archivos adjuntos que parecían estar asociados con un tribunal de distrito de Kiev.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cyberattacks-data-breaches/threat-group-using-rare-data-transfer-tactic-in-new-remcosrat-campaign