El grupo de hackers APT28, también conocido como oso Fantasía, ha iniciado una campaña de ataque global utilizando documentos infectados que hacen referencia a los recientes ataques terroristas en Nueva York. El colectivo penal está utilizando una vulnerabilidad reciente que afecta a un componente de productos de Microsoft Office llamada DDE (Dynamic Data Exchange).
Campaña Hacker APT28 se aprovecha de los ataques de terror NYC
los investigadores de seguridad informática descubrieron una nueva campaña global operado por el grupo de hackers APt28. Este colectivo penal es ampliamente conocido por tener un conocimiento muy profundo de la seguridad cibernética y ha sido noticia en numerosas ocasiones. Uno de sus infracciones más famosos es una intrusión el año pasado en el Comité Nacional Demócrata después de las elecciones presidenciales en Estados Unidos.
Esta vez el grupo está utilizando la estrategia de crear grandes conjuntos de mensajes de correo electrónico que se envían a las víctimas. Cuentan con tácticas de ingeniería social que manipulan a las víctimas en la interacción con ellos. La presentación de documentos o archivos de interés para las víctimas es uno de los métodos más utilizados y peligrosas de malware instituir.
Se cree que los mensajes pueden haber sido enviado recientemente al personal militar en Francia o Alemania. Esto se basa en varios avistamientos de actividad similar por parte del grupo de acuerdo con los informes de seguridad realizados por especialistas que hacen un seguimiento de su movimiento. Por el momento la información disponible muestra que los objetivos actuales son usuarios europeos. Los investigadores señalan que el documento ut “tema” a partir de una campaña de malware reciente se llama “SabreGuardian” que es una referencia directa a las operaciones del ejército estadounidense en Europa.
APT28 parece estar empleando la estrategia de aprovechar las noticias de última hora y las historias que tienen un gran impacto. La campaña que tiene las últimas preocupaciones utiliza títulos que hacen referencia a los recientes ataques terroristas en Nueva York. El hecho de que han sido enviados a la gente en Europa demuestra que es posible que los hackers pretenden ser una fuente de noticias, informante u otro tipo de proveedor.
Los investigadores señalan que los mensajes utilizan diversos títulos y direcciones de engañar a los objetivos en abrirlos. Sorprendentemente, el texto del cuerpo está vacío y los objetivos encontrará documentos de diferentes tipos unidos directamente. Pueden ser ricos documentos de texto, presentaciones, hojas de cálculo o de otro archivo populares. Si continúan aún más la interacción con una infección viral peligrosa sigue.
La vulnerabilidad de malware APT28 Leverahes Microsoft Office DDE
APT28 utiliza una vieja característica de Microsoft Office llamada Dynamic Data Exchange (DERECHO) que todavía está siendo utilizado por partes de la suite. Mientras que muchas implementaciones tecnológicas más recientes, ya se han convertido en la norma, el módulo DDE todavía se conserva y se activa por defecto, incluso en el más reciente de Microsoft Office libera. En un principio ha sido utilizado por la empresa para permitir a sus usuarios realizar fácilmente los datos de un documento a otro a través de la inyección de código. Este es un componente muy útil cuando se trata de la actualización dinámica de los campos de datos en los documentos que se encuentran en una red compartida.
Tan conveniente como puede sonar, la función DDE puede ser fácilmente objeto de abuso por los delincuentes para lanzar las secuencias de comandos y comandos en el ordenador de la víctima. El año pasado otro grupo criminal utilizó un ataque DDE que no sólo dio lugar a una intrusión exitosa, sino también por alto mecanismo de protección antivirus. Esto se realiza mediante scripts de PowerShell que permiten a los atacantes ejecutar código arbitrario colocado por los hackers.
Los ataques APT28 videntes tienen éxito, incluso si las macros están deshabilitadas. El documento malicioso primaria que se está enviando a los objetivos se llama “IsisAttackInNewYork.docx” y su fecha de creación es 2017-10-27T22:23:00Desde. Una vez que las víctimas abrirlo una serie de comandos peligrosos sigue.
- Despliegue inicial malware - La primera acción descarga el software malicioso Seduploader desde una ubicación remota. Este es un servidor pirata informático controlado que puede alojar una multitud de amenazas que pueden ser alterados dinámicamente en función de los objetivos previstos.
- El componente peligroso es una herramienta de reconocimiento de primera etapa que es capaz de extraer una multitud de datos de los equipos de las víctimas. Perfiles de las máquinas es un paso importante que es capaz de clasificar los objetivos por el sistema de.
- Además infección de malware - En función de los resultados y las instrucciones incorporadas en las máquinas pueden ser infectados con diferentes amenazas.
Como parece que el grupo de hackers APT28 está utilizando un enfoque más sofisticado mediante la combinación de una metodología infección generalizada, trucos de ingeniería social probadas y una variedad de diferentes cepas de malware, como resultado de la intrusión.
Impacto y Consecuencias de la Campaña APT28 malware
Los piratas informáticos APT28 distribuyen los archivos peligrosos orientadas no solamente hacia los usuarios finales, pero el personal también sensibles. Los investigadores de seguridad, tenga en cuenta que si bien la actual campaña es, probablemente, apuntando a los oficiales militares en Europa al mismo tiempo, los ataques pueden ser empleados contra los usuarios corporativos. Tales estrategias son ampliamente utilizados contra los usuarios finales cuando la implantación de formas avanzadas de ransomware.
Las consecuencias peligrosas que están relacionados con las intrusiones hecho es que se especula que las redes sensibles se han visto afectados. Además, el código dinámico permite a los operadores de piratas informáticos a la selección ya sea de forma automática o manualmente el malware más apropiado. Combinado con el hecho de que la infección inicial extrae una gran cantidad de información detallada sobre la máquina comprometida, así como la red.
Recomendamos encarecidamente que todos los usuarios utilizan una solución de calidad anti-spyware. Es capaz de eliminar las infecciones activas de todo tipo de virus, Troyanos y secuestradores de navegador y eliminarlos a través de un par de clics.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: