Malware de puerta trasera utilizado contra entidades de defensa ucranianas

Se identificó una nueva puerta trasera basada en .NET, denominada DeliveryCheck (también conocida como CAPIBAR o GAMEDAY), dirigida específicamente al sector de defensa en Ucrania y Europa del Este. Esta puerta trasera sofisticada tiene la capacidad de entregar cargas útiles posteriores.

Los ataques se han atribuido a un actor de estado-nación ruso llamado Turla, que tiene varios nombres como Iron Hunter, Secret Blizzard (anteriormente Krypton), Uroburos, Venomous Bear y Waterbug. Se sabe que Turla está vinculada al Servicio Federal de Seguridad (FSB) de Rusia. El vector de ataque consiste en distribuir DeliveryCheck por correo electrónico, utilizando documentos que contienen macros maliciosas. Una vez infiltrado, DeliveryCheck persiste a través de una tarea programada, que lo descarga y lo ejecuta en la memoria. Además, se comunica con un servidor de comando y control (C2) para recuperar tareas, incluido el lanzamiento de cargas útiles arbitrarias integradas en hojas de estilo XSLT.

El ataque inicial utiliza el implante Kazuar

En algunos casos, el acceso inicial va acompañado de la distribución de un implante de Turla conocido como Kazuar. Este implante está bien equipado para robar archivos de configuración de aplicaciones, registros de eventos y varios datos de los navegadores web. El objetivo principal de estos ataques es extraer mensajes de la aplicación de mensajería Signal en Windows, lo que permite a los adversarios acceder a conversaciones, documentos e imágenes confidenciales en los sistemas de destino.

Un aspecto importante de DeliveryCheck es su capacidad para comprometer los servidores de Microsoft Exchange mediante la instalación de un componente del lado del servidor mediante la configuración de estado deseado (DSC) de PowerShell, una plataforma que facilita la configuración automatizada de los sistemas Windows. Esto permite que DSC genere un archivo de formato de objeto administrado (MOF) que contiene un script de PowerShell que carga la carga útil de .NET incrustada en la memoria, transformando efectivamente un servidor legítimo en un centro C2 malicioso.

Ucrania acaba con la granja de bots de propaganda

Paralelamente, la Policía Cibernética de Ucrania desmanteló con éxito una granja de bots a gran escala, lo que implicó a más de 100 personas involucradas en difundir propaganda hostil que justificaba la invasión rusa. El grupo también estuvo involucrado en la filtración de información personal perteneciente a ciudadanos ucranianos y en la ejecución de varios esquemas de fraude. Como parte de este operativo, se realizaron allanamientos en 21 localidades, resultando en la incautación de equipos de cómputo, teléfonos móviles, más de 250 pasarelas GSM y cerca de 150.000 tarjetas SIM de diferentes operadores móviles.