Alertas de Seguridad

Kaspersky identifica un nuevo grupo APT

Dirigido a entidades gubernamentales rusas

[15/07/2024] El Equipo Global de Investigación y Análisis (GReAT) de Kaspersky ha descubierto un nuevo grupo de Amenazas Persistentes Avanzadas (APT), apodado CloudSorcerer, que ha estado atacando activamente a entidades gubernamentales rusas. Según lo señalado en el comunicado de prensa, esta sofisticada herramienta de ciberespionaje explota los servicios en la nube y GitHub como servidores de mando y control (C2), haciéndose eco de técnicas previamente reportadas con la APT CloudWizard en 2023.

"A pesar de las similitudes con CloudWizard, también descubierto por Kaspersky, CloudSorcerer emplea una base de código y una funcionalidad únicas, lo que lo distingue como un actor de ciberamenazas distinto. El grupo utiliza infraestructura de nube pública, incluyendo Microsoft Graph, Yandex Cloud y Dropbox, como sus principales servidores de comando y control (C2). El malware interactúa con los servidores C2 a través de API, empleando tokens de autenticación recuperados de una página de GitHub aparentemente legítima, comentó Sergey Lozhkin, investigador principal de ciberseguridad en el GReAT de Kaspersky.

El especialista anotó que CloudSorcerer emplea una estrategia de ataque en varias fases. "En primer lugar, los atacantes despliegan manualmente el malware en la máquina de la víctima. Al obtener acceso, CloudSorcerer adapta su funcionalidad en función del proceso que infecta. Por ejemplo, puede comportarse de forma diferente cuando se ejecuta en mspaint.exe en comparación con msiexec.exe. Para establecer comunicación con su centro de mando y control (C2), CloudSorcerer recupera detalles, potencialmente una ubicación de almacenamiento en la nube, de una página de GitHub. Esta información está codificada en la propia página. Por último, el malware recopila información del sistema y la filtra al almacenamiento en la nube designado utilizando la API del servicio en la nube elegido.

Lozhkin agregó que CloudSorcerer emplea complejas técnicas de ofuscación y cifrado para evitar ser detectado. Descodifica los comandos utilizando una tabla de códigos de caracteres codificada y manipula las interfaces de objetos COM de Microsoft para ejecutar sus operaciones maliciosas.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »