Grupos de hackeo prorrusos han aprovechado una reciente vulnerabilidad en WinRAR para una campaña de phishing que busca recopilar credenciales de sistemas comprometidos.

El ataque involucra el uso de archivos de archivo maliciosos que explotan la vulnerabilidad recién descubierta que afecta a versiones de WinRAR anteriores a 6.23, identificada como CVE-2023-38831, según un informe de Cluster25. El archivo alberga un PDF trampa que, al hacer clic, ejecuta un script de Windows Batch. Esto lanza comandos de PowerShell para abrir un shell inverso que proporciona acceso remoto al atacante.

Además, se despliega un script de PowerShell que roba datos, incluyendo credenciales de inicio de sesión, de navegadores como Google Chrome y Microsoft Edge. Los datos capturados se envían a través de un sitio web de servicio web legítimo

CVE-2023-38831 se refiere a una seria vulnerabilidad en WinRAR que permite a los atacantes ejecutar código malicioso al intentar abrir un archivo inofensivo dentro de un archivo ZIP. Grupo-IB descubrió este fallo en agosto de 2023 y reveló que había sido utilizado como una vulnerabilidad día cero desde abril de ese año en ataques dirigidos contra comerciantes.

Este descubrimiento coincide con los esfuerzos de Mandiant, propiedad de Google, para rastrear las operaciones de phishing en evolución del grupo ruso APT29, dirigidas a entidades diplomáticas. Estos ataques han aumentado su ritmo y se han centrado en Ucrania durante la primera mitad de 2023. Los cambios significativos en las tácticas y herramientas de APT29 apuntan a respaldar operaciones más frecuentes y amplias, así como a dificultar el análisis forense. La compañía ha observado que APT29 ha utilizado múltiples cadenas de infección simultáneamente en diversas operaciones.

Algunos de los cambios notables incluyen el uso de sitios comprometidos de WordPress para alojar cargas en la primera etapa, así como componentes adicionales de ofuscación y anti-análisis.

APT29, que también se ha relacionado con la explotación basada en la nube, es uno de los grupos rusos que han centrado su atención en Ucrania desde el comienzo de la guerra el año anterior.

En julio de 2023, el Equipo de Respuesta de Emergencia Informática de Ucrania (CERT-UA) señaló a Turla por ataques que utilizaron el malware Capibar y la puerta trasera Kazuar para espiar a objetivos defensivos ucranianos.

Turla es un adversario persistente con un historial largo de actividades. Sus tácticas y objetivos sugieren una operación bien financiada con personal altamente capacitado. A lo largo de los años, Turla ha mejorado continuamente sus herramientas y técnicas, y es probable que continúe refinándolas en el futuro.

El mes pasado, las agencias ucranianas de ciberseguridad revelaron que actores de amenazas respaldados por Rusia tenían como objetivo a las entidades policiales nacionales para obtener información sobre las investigaciones ucranianas sobre crímenes de guerra cometidos por soldados rusos. Según el Servicio Estatal de Comunicaciones Especiales y Protección de Información de Ucrania (SSSCIP), en 2023, los grupos más activos fueron UAC-0010 (Gamaredon/FSB), UAC-0056 (GRU), UAC-0028 (APT28/GRU), UAC-0082 (Sandworm/GRU), UAC-0144/UAC-0024/UAC-0003 (Turla), UAC-0029 (APT29/SVR), UAC-0109 (Zarya), UAC-0100, UAC-0106 (XakNet) y UAC-0107 (CyberArmyofRussia).

CERT-UA informó de 27 incidentes cibernéticos “críticos” en la primera mitad de 2023, en comparación con los 144 del segundo semestre de 2022 y los 319 del primer semestre de 2022. En resumen, los ciberataques destructivos que afectaron a las operaciones disminuyeron de 518 a 267.

fuente: thehackernews