Estados Unidos comparte información sobre el malware ruso utilizado para atacar parlamentos y embajadas

Estados Unidos comparte información sobre el malware ruso utilizado para atacar parlamentos y embajadas

El Comando Cibernético de EE. UU. Compartió hoy información sobre los implantes de malware utilizados por grupos de hackers rusos en ataques a múltiples ministerios de relaciones exteriores, parlamentos nacionales y embajadas.

Las muestras de malware fueron identificadas por la unidad Cyber ​​National Mission Force (CNMF) del Cyber ​​Command de EE. UU. Y la Cybersecurity and Infrastructure Security Agency (CISA) y se cargaron hoy en la plataforma de escaneo de virus en línea Virus Total.

CISA también publicó dos avisos en colaboración con el FBI y el CNMF que detallan información adicional sobre el malware ComRAT y Zebrocy utilizado por los grupos de piratería Turla y APT 28 patrocinados por el estado ruso en estos ataques.

Índice()

    Puertas traseras utilizadas para apuntar a los gobiernos

    los Grupo Turla (también conocido como OSO VENOMIANO es Bicho de agua) conocido por haber estado activo desde 1996 en ataques dirigidos Comando Central de Estados Unidos, el Pentágono y la NASA, también utilizó la puerta trasera de ComRAT en ataques contra "ministerios de relaciones exteriores y parlamentos nacionales para espiar, robar datos e instalar malware".

    "El FBI está muy seguro de que Turla, actor de APT patrocinado por Rusia, que ha sido un grupo de espías que ha estado activo durante al menos una década, está utilizando el malware ComRAT para explotar las redes de las víctimas", se publicó hoy un aviso. Él dice. "El grupo es bien conocido por sus herramientas personalizadas y operaciones específicas".

    La puerta trasera de Zebrocy también se vio desplegada en ataques contra embajadas y ministerios de relaciones exteriores de Europa del Este y Asia Central.

    "Dos ejecutables de Windows identificados como una nueva variante de la puerta trasera de Zebrocy fueron sometidos a análisis", CISA Él dice. "El archivo está diseñado para permitir que un operador remoto realice varias funciones en el sistema comprometido".

    Comando cibernético de EE. UU.

    Aunque la advertencia de CISA no menciona al actor de amenazas detrás de esta serie de ataques, se sabe que Zebrocy está asociado con el grupo de hackers APT 28 (también conocido como Sofacy, Fancy Bear, Sednit, STRONTIUM) respaldado por Rusia.

    Son conocidos por ser miembros de la Unidad 26165 y la Unidad 74455 de la Dirección Principal de Inteligencia de Rusia (GRU) y por coordinar múltiples campañas de ciberespionaje dirigidas a gobiernos de todo el mundo.

    Entre ellos, APT 28 estuvo involucrado en un ataque cibernético de 2015 contra el parlamento federal alemán y ataques directos contra el Comité Nacional Demócrata (DNC) y el Comité de Campaña del Congreso Demócrata (DCCC) en 2016.

    Las alertas publicadas hoy por CISA también brindan a los administradores y usuarios las mejores prácticas diseñadas para ayudarlos a fortalecer las defensas de su organización contra futuros ataques utilizando estas puertas traseras.

    Los Cyber ​​Commands de EE. UU. Han expuesto anteriormente nuevas variantes de malware implementadas por campañas de actividad cibernética maliciosas coordinadas por piratas informáticos respaldados por el gobierno de Corea del Norte.

    El malware fue utilizado "para el phishing y el acceso remoto por parte de los ciber actores de la RPDC para realizar actividades ilegales, robar fondos y evadir sanciones".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir