Investigadores de seguridad cibernética revelaron el martes una campaña de espionaje de varias etapas dirigida a funcionarios gubernamentales de alto rango que supervisan la política de seguridad nacional y personas en la industria de defensa en Asia occidental.
El ataque es único ya que aprovecha Microsoft OneDrive como un servidor de comando y control (C2) y se divide en hasta seis etapas para permanecer lo más oculto posible, Trellix, una nueva empresa creada tras la fusión de las empresas de seguridad McAfee Enterprise. y FireEye — dijo en un reporte compartido con The Hacker News.
«Este tipo de comunicación permite que el malware pase desapercibido en los sistemas de las víctimas, ya que solo se conectará a dominios legítimos de Microsoft y no mostrará ningún tráfico de red sospechoso», explicó Trellix.
Se dice que los primeros signos de actividad asociados con la operación encubierta comenzaron el 18 de junio de 2021, con dos víctimas reportadas el 21 y 29 de septiembre, seguidas de 17 más en un breve lapso de tres días entre el 6 y el 8 de octubre.
Trellix atribuyó los ataques sofisticados con confianza moderada a la empresa con sede en Rusia APT28 grupo, también rastreado bajo los nombres de Sofacy, Strontium, Fancy Bear y Sednit, en base a las similitudes en el código fuente, así como en los indicadores de ataque y los objetivos geopolíticos.
«Estamos absolutamente seguros de que estamos tratando con un actor muy hábil en función de cómo se configuraron la infraestructura, la codificación de malware y la operación», dijo Marc Elias, investigador de seguridad de Trellix.
La cadena de infección comienza con la ejecución de un archivo de Microsoft Excel que contiene un exploit para la vulnerabilidad de ejecución remota de código MSHTML (CVE-2021-40444), que se utiliza para ejecutar un binario malicioso que actúa como descargador de un malware de tercera etapa denominado Grafito.
El archivo ejecutable DLL usa OneDrive como servidor C2 a través de la API de Microsoft Graph para recuperar malware adicional que finalmente se descarga y ejecuta. Imperio, un marco de posexplotación basado en PowerShell de código abierto del que abusan ampliamente los actores de amenazas para actividades de seguimiento.
En todo caso, el desarrollo marca la explotación continua de la falla del motor de renderizado MSTHML, con Microsoft y SafeBreach Labs revelando múltiples campañas que han armado la vulnerabilidad para plantar malware y distribuir cargadores Cobalt Strike Beacon personalizados.
