El grupo de cibercriminales autoproclamados abiertamente como pro-rusos, Cozy Bear (APT29), ha sido el responsable de ataques cibernéticos a diferentes organizaciones militares y entidades de defensa.
Recientemente, el equipo de investigadores de seguridad Mandiant, destapó una campaña de phishing realizada por este grupo que tenía como intención llegar a producir una brecha de seguridad en diferentes entidades gubernamentales.
Pero ahora bien… ¿Cómo funcionaba realmente esta campaña?
Estos ataques de phishing, enviados desde cuentas de correo válidas pertenecientes a diferentes embajadas, instaban a descargarse un fichero con el pretexto de una actualización de las directivas y políticas del dominio.
Dicho fichero contiene un archivo de tipo .LMK (acceso directo) que carga DLLs maliciosas. Al ejecutarse, descarga un fichero beacon, el cual conecta con el servidor C2 de los cibercriminales para conseguir acceso a la máquina objetivo. Esto permite la captura de credenciales, la extracción de material sensible, tales como cuentas, contraseñas, DNIs… o el escaneo de puertos, entre otros.
Por último, en el equipo de la víctima se descarga el binario BOOMIC con el objetivo de ganar persistencia, lo que permite poder conectar a la máquina una vez que esta se reinicie.
Más información:
https://cyware.com/news/apt29-phishing-campaigns-target-government-and-diplomats-576ae072
Deja una respuesta