Un grupo organizado de ciberdelincuentes ha atacado y, posiblemente, infectado a empleados del gobierno croata entre los meses de febrero y abril de este año.
Los atacantes han llevado a cabo una campaña de phishing que imitaba las notificaciones de entrega de los servicios postales croatas u otras empresas. Los correos electrónicos contenían un enlace a una página web con URL similar a la original en la que se pedía a los usuarios que descargasen un documento de Excel.
Cuidado con los adjuntos
Como es de esperar, el documento ocultaba en las macros numerosas líneas de código malicioso. Una vez que abrimos el documento se nos descargaría e instalaría malware en el equipo. Durante el análisis del ataque fueron detectados dos payloads distintos.
El primero fue reconocido como la puerta trasera Empire, un componente de Empire post-exploitation framework, y el segundo se reconoció como SilentTrinity, otra herramienta post-explotación similar a la primera.
El gobierno croata detectó el ataque en abril
La oficina de seguridad de sistemas de información, la autoridad responsable de la ciberseguridad de los organismos estatales de Croacia, emitió una alerta sobre el ataque
La agencia estatal de ciberseguridad compartió claves de registro, nombres de archivos, URLs e IPs de los servidores de control (C2) que usaban los atacantes y además, pidió a las agencias estatales que revisasen los registros y analizasen los equipos en busca de malware.
No se le ha atribuido la autoría del ataque a ningún grupo específico pero tras la investigación los expertos dijeron que «los datos disponibles sobre los hosts, direcciones y dominios utilizados, así como el alto número de conexiones entre ellos, sugieren un esfuerzo a gran escala.»
Fuente: https://www.zdnet.com/article/croatian-government-targeted-by-mysterious-hackers/
Deja un comentario