Grupo de Hackers Rusos APT28, lanza una nueva amenaza



El grupo APT28, es conocido como un sinónimo de “Hacking Ruso”, se les atribuyen un gran número de ataques importantes y peligrosos, pero por sobre todo, ataques de cyberespionaje, razón por la cual se sospecha que serían parte de la inteligencia militar de Rusia. Debido a su enfoque principal que se ha manifestado en objetivos críticos de gobierno de otros países [1].

De acuerdo a los registros este grupo data del año 2007 hasta la fecha, efectuando actividades de espionaje gubernamental [2].

Dado a la cantidad de ataques que se les ha atribuido en el último tiempo, han utilizado diferentes nombres para despistar o terceros los han llamado como: “SOFACY”, “SEDNIT”, “PAWN STORM”; “FANCY BEAR” [3].

En la actualidad, los ataques globales parecen ser el nuevo objetivo del grupo creando y lanzando un nuevo troyano llamado “Cannon”, nuevamente el análisis de este tipo de ataque se atribuye a entidades gubernamentales, desde América del Norte, Europa, entre otros [4].

El análisis reveló que desde una primera etapa en la que utilizaron el troyano Zebrocy [5], aún existían documentos que estaban operativos, a partir de estos se logró identificar la segunda etapa llamada “Cannon”, que a diferencia de Zebrocy, este tiene un nuevo canal de comunicación al C2 (Command & Control), utilizando correo electrónico, si bien este canal no es nuevo, si ayuda a disminuir las posibilidades de detección [4].

Detalles del Ataque.



-->
Utilizando un documento Microsoft Word, a través de Phishing, este se activa cuando la víctima del ataque abre el archivo malicioso, el que inmediatamente intenta cargar una plantilla macro, de un sitio remoto, la que contiene una carga útil desde la ubicación especificada en el archivo, donde efectivamente es posible abrir el documento [4], lo que significa que si no logra descargar la plantilla el archivo Word se abre arrojando un error.

El troyano funciona básicamente como un descargador de archivos, utilizando el correo electrónico para comunicarse con el C2 (Command & Control), Cannon enviará correos a direcciones de específicas a través del protocolo SMTP utilizando el puerto 587 [4].

El objetivo principal del ataque, es utilizar cuentas de correo para enviar datos del sistema hasta capturas de pantalla. La información recopilada es guardada en un archivo llamado “OPS”, para luego ser enviado al C2 (Command & Control) [4].

RECOMENDACIONES

Se sugiere bloquear los siguientes indicadores de compromiso.

Cannon Hash

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

Hashes remotos de plantillas
f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5
fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e404069

Correos electrónicos

           sahro.bella7 [at] post.cz
           trala.cosh2 [at] post.cz
           bishtr.cam47 [at] post.cz
           lobrek.chizh [at] post.cz
           cervot.woprov [at] post.cz

REFERENCIAS

[1] https://attack.mitre.org/groups/G0007/
[2] https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
[3] https://www.ncsc.gov.uk/alerts/indicators-compromise-malware-used-apt28
[4] https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/
[5] https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/


Nombre

Adware,3,android,13,Antivirus,1,Apple,7,Apps,5,Arkavia Networks,8,Ataques,2,Backdoor,2,Bancos,3,Botnet,1,Botnet. Malware,1,Check Point,1,Cibercrimen,63,ciberseguridad,49,Cloud,1,CMS,1,CPU,1,Criptomonedas,3,cyber day,1,Cyberwarfare,2,Dark Web,1,Data Leak,3,Deep Web,4,Empresas,71,Eventos,2,Exploits,2,F5 Networks,1,Facebook,5,Firmware,1,google,22,Hacking,27,Hardware,3,Industria,4,Instagram,1,Intel,2,Internacional,22,Internet,23,IoT,2,Linux,1,Malware,4,Malwares,32,Microsoft,10,Nacional,7,Negocios,1,Oracle,1,OS,2,phishing,8,Protocolos,5,Recomendaciones,12,Redes,21,redes sociales,9,Rootkit,1,Salud,1,Smartphones,10,Software,7,Spyware,3,updates,14,Vulnerabilidades,32,Web,1,wifi,1,
ltr
item
Arkavia Networks News: Grupo de Hackers Rusos APT28, lanza una nueva amenaza
Grupo de Hackers Rusos APT28, lanza una nueva amenaza
https://1.bp.blogspot.com/-iUdvjB8TL0A/W_XDboS-GWI/AAAAAAAAA5U/QtO0wVMF8rkEnGqHc2IEqsQ1EPsQQ6YeACLcBGAs/s640/Captura%2Bde%2Bpantalla%2B2018-11-21%2Ba%2Bla%2528s%2529%2B17.42.12.png
https://1.bp.blogspot.com/-iUdvjB8TL0A/W_XDboS-GWI/AAAAAAAAA5U/QtO0wVMF8rkEnGqHc2IEqsQ1EPsQQ6YeACLcBGAs/s72-c/Captura%2Bde%2Bpantalla%2B2018-11-21%2Ba%2Bla%2528s%2529%2B17.42.12.png
Arkavia Networks News
https://www.arkalabs.cl/2018/11/grupo-de-hackers-rusos-apt28-lanza-una.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2018/11/grupo-de-hackers-rusos-apt28-lanza-una.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy