Grupo APT «altamente activo» dirigido a Microsoft …


El grupo Gamaredon ha aumentado la actividad en los últimos meses y no hace ningún esfuerzo por mantenerse fuera del radar, informan los investigadores.

El grupo APT Gamaredon «altamente activo» ha estado utilizando varias herramientas de ataque write-up-compromiso previamente indocumentadas en campañas maliciosas, que según los investigadores de ESET han aumentado en los últimos meses. Muchas de estas herramientas están destinadas a Microsoft Place of work y Outlook.

Gamaredon ha estado activo desde al menos 2013 y principalmente dirigido a instituciones ucranianas, informa el equipo de investigación en un nuevo análisis, citando informes de CERT-UA e instituciones ucranianas. Un aumento reciente en la actividad ha traído «oleadas constantes» de correos electrónicos maliciosos con archivos adjuntos que contienen macros maliciosas que, cuando se ejecutan, intentan descargar diferentes variantes de malware.

«Las herramientas utilizadas por Gamaredon son muy simples y están diseñadas para recopilar información confidencial de sistemas comprometidos y difundirlas aún más», dicen los investigadores en una publicación de site. A pesar de que sus herramientas podrían descargar binarios más sutiles, el grupo parece enfocado principalmente en extenderse lejos y rápido en las redes de destino. A diferencia de otros grupos APT, Gamaredon no hace ningún esfuerzo por esconderse.

Una mirada más cercana a las herramientas posteriores al compromiso reveló una macro VBA dirigida a Microsoft Outlook que united states of america la cuenta de correo electrónico de una víctima para enviar correos electrónicos de phishing a contactos en su libreta de direcciones de Office. Los investigadores señalan que el uso de macros de Outlook para enviar malware es raro en campañas maliciosas

Su análisis también inspeccionó variantes de módulos que el grupo Gamaredon united states of america para inyectar macros maliciosas o plantillas remotas en documentos en el sistema comprometido. Esta es una forma eficiente de moverse por una purple porque los empleados suelen compartir archivos. Y debido a que las macros se ejecutan cuando se abren los archivos, es una forma práctica de permanecer persistente ya que los archivos a menudo se abren varias veces. Los investigadores encontraron que estos módulos pueden ajustar la configuración de seguridad de macros de Business office, lo que significa que una víctima no sabe que está comprometida cuando abre archivos maliciosos.

Lee el informe completo aquí.

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Brief Hits de Dim Reading ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente authentic de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia unique