ExileRAT enviado en representación de Grupo pro-tibetano por campaña de espionaje


Se ha detectado una campaña de malware que consiste en un documento malicioso de Microsoft PowerPoint que es enviado utilizando una lista de correo administrada por la Administración Central Tibetana (CTA), una organización que representa oficialmente al gobierno tibetano en el exilio. El documento utilizado en el ataque fue un archivo con extensión .PPSX, formato utilizado para entregar una presentación de diapositivas que no permite edición. 

El archivo malicioso adjunto en el correo con nombre: "Tibet-was-never-a-part-of-China.ppsx", destinado a atacar a todos los suscriptores de esta lista de correo de noticias tibetanas. Dada la naturaleza de este malware y los objetivos involucrados, se estima que fue creado con fines de espionaje en lugar de ganancias financieras. La tendencia por el ciberespionaje por razones políticas está muy presente actualmente.

La campaña está vinculada a los troyanos basados Windows y Android LuckyCat. Este archivo PSSX se utiliza como dropper (instalador del malware), el cual ejecuta scripts para descargar el payload, esta vulnerabilidad hace referencia a [CVE-2017-0199], Ejecución de Cross-site scripting (XSS) en Microsoft Office, el contenido de la presentación es la copia de un documento PDF legítimo público de la organización.

También se realizan peticiones HTTP al servidor de comando y control (C2), a un recurso con nombre “aqqee”, luego descarga el payload “syshost.exe” conocido como ExileRat. El C2 utilizado en esta campaña tiene la dirección "27.126.188.212". Se han identificado varios directorios abiertos que contenían otros archivos .exe y .dll, como por ejemplo "AcroRd32.exe" y "ccL100U.dll".


REFERENCIA
https://blog.talosintelligence.com/2019/02/exilerat-shares-c2-with-luckycat.html

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,26,Antivirus,3,Apple,13,Apps,11,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,107,ciberseguridad,73,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,2,Empresas,111,Eventos,5,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,25,Hacking,80,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,21,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,12,Ransomware,7,Recomendaciones,15,Redes,29,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,29,Software,23,Spyware,11,updates,21,Vulnerabilidades,60,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: ExileRAT enviado en representación de Grupo pro-tibetano por campaña de espionaje
ExileRAT enviado en representación de Grupo pro-tibetano por campaña de espionaje
https://3.bp.blogspot.com/-3rAjMdQeqeQ/XFnsnXjYlEI/AAAAAAAABBs/7CzRWf9UuZkcYUeTj1wlfGYR9CPc-6LWgCLcBGAs/s640/ExileRAT%2BTibetano.jpg
https://3.bp.blogspot.com/-3rAjMdQeqeQ/XFnsnXjYlEI/AAAAAAAABBs/7CzRWf9UuZkcYUeTj1wlfGYR9CPc-6LWgCLcBGAs/s72-c/ExileRAT%2BTibetano.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/02/exilerat-enviado-en-representacion-de.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/02/exilerat-enviado-en-representacion-de.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy