La campaña EastWind se dirige al gobierno ruso y a las organizaciones de TI a través de CloudSorcerer

En una nueva ola de ciberataques, las entidades gubernamentales y las organizaciones de TI rusas están siendo blanco de una sofisticada campaña de phishing conocida como EastWind. Esta campaña distribuye una serie de puertas traseras y troyanos que explotan los sistemas Windows a través de un archivo de acceso directo de Windows (LNK) malicioso oculto en archivos adjuntos de archivos RAR. Cuando los usuarios desprevenidos abren estos archivos, desencadenan una secuencia de infección compleja que finalmente conduce a la implementación de varias variantes de malware peligrosas, entre ellas GrewApacha, una versión actualizada de la puerta trasera CloudSorcerer y un implante recientemente identificado llamado PlugY.

El proceso de infección

La campaña EastWind comienza con un archivo LNK aparentemente inofensivo. Sin embargo, este archivo no es nada benigno. Aprovecha las técnicas de carga lateral de DLL para ejecutar un archivo DLL malicioso, utilizando Dropbox como canal de comunicación. Una vez que la infección está activa, realiza un reconocimiento y descarga cargas útiles adicionales.

Entre los programas maliciosos implementados se encuentra GrewApacha , una puerta trasera que anteriormente estaba asociada con el grupo APT31, vinculado a China. Este programa malicioso utiliza un perfil de GitHub comprometido para almacenar una cadena codificada en Base64, que funciona como servidor de comando y control (C2).

Otro componente clave de este ataque es CloudSorcerer , una herramienta de ciberespionaje muy avanzada. Esta puerta trasera facilita el monitoreo encubierto, la recopilación de datos y la exfiltración aprovechando servicios de nube populares como Microsoft Graph, Yandex Cloud y Dropbox. Emplea un mecanismo de protección basado en cifrado, lo que garantiza que el malware se active solo en la máquina de la víctima prevista al generar una clave única derivada de la función GetTickCount() de Windows.

El último malware observado en esta campaña es PlugY , un backdoor con todas las funciones capaz de ejecutar comandos de shell, monitorear la pantalla de la víctima, registrar las pulsaciones de teclas y capturar el contenido del portapapeles. PlugY se conecta a un servidor de administración mediante TCP, UDP o canalizaciones con nombre y presenta similitudes con un backdoor conocido llamado DRBControl, atribuido a actores de amenazas con nexo con China como APT27 y APT41.

Mitigación y eliminación

Dada la sofisticación de la campaña EastWind, mitigar y eliminar estas amenazas requiere un enfoque de varios niveles:

1. Evite abrir archivos sospechosos: no abra archivos adjuntos inesperados o sospechosos, especialmente si vienen en formato RAR o LNK. Si recibe un archivo de este tipo, verifique su legitimidad con el remitente antes de continuar.
2. Utilice soluciones antivirus avanzadas: emplee una solución antivirus actualizada capaz de detectar y eliminar amenazas avanzadas como GrewApacha, CloudSorcerer y PlugY. Ejecute un análisis completo del sistema y elimine todas las amenazas detectadas.
3. Sistemas de actualización y parches: asegúrese de que su sistema operativo, software y herramientas de seguridad estén actualizados con los parches más recientes. Esto ayuda a cerrar vulnerabilidades que malware como EastWind puede explotar.
4. Monitoreo del tráfico de red: Monitoreo regular del tráfico de red para detectar actividad inusual, especialmente conexiones a servidores C2 desconocidos o servicios en la nube como Dropbox, Microsoft Graph y Yandex Cloud. El tráfico sospechoso debe investigarse y bloquearse.
5. Aísle los sistemas infectados: si se detecta una infección, aísle inmediatamente el sistema afectado de la red para evitar una mayor propagación. Realice una investigación exhaustiva para identificar y eliminar todos los rastros del malware.
6. Fortalecer la seguridad del correo electrónico: implementar medidas de seguridad sólidas, incluidos filtros de spam, protocolos de autenticación de correo electrónico y capacitación de los empleados para reconocer los intentos de phishing.

La campaña EastWind es un duro recordatorio de las tácticas en evolución que utilizan los cibercriminales para vulnerar las defensas y robar información confidencial. Si se mantiene la vigilancia y se emplea una estrategia de seguridad integral, las organizaciones pueden protegerse de esta y otras amenazas avanzadas. Asegúrese de que sus sistemas estén fortificados contra estas puertas traseras y troyanos, y tome medidas proactivas para detectar y eliminar cualquier signo de infección.