US Cyber Command ha expuesto ocho nuevas muestras de malware que
fueron desarrolladas e implementadas por piratas informáticos rusos en ataques
recientes.
Seis de las ocho muestras son para el malware
ComRAT
(utilizado por el grupo de piratería
Turla), mientras que las otras dos son muestras para el malware
Zebrocy
(utilizado por el grupo de piratería
APT28).
Tanto ComRAT como Zebrocy son familias de malware que han sido
utilizadas por grupos de hackers rusos durante años, y ComRAT se implementó en
ataques durante más de una década, habiendo evolucionado a partir del antiguo
malware Agent.BTZ.
Tanto Turla como APT28 han actualizado
constantemente ambas herramientas para agregar técnicas de evasión y mantener
su malware sin ser detectado.
El propósito de esta exposición
reciente del gobierno de EE. UU. Es compartir versiones recientes de estas
herramientas de piratería con el público en general para que los
administradores del sistema y otros defensores puedan agregar reglas de
detección y actualizar las medidas de protección.
El jueves, la
Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU.
(CNMF) cargó muestras de las nuevas versiones de ComRAT y Zebrocy en su
cuenta VirusTotal, mientras que la Agencia de Seguridad de Infraestructura y Ciberseguridad
(CISA), en cooperación con CyWatch de la Oficina Federal de Investigaciones,
publicó dos avisos de seguridad que describen el funcionamiento interno de
ComRAT
y
Zebrocy.
(adsbygoogle = window.adsbygoogle || []).push({});
Cepas de malware vinculadas formalmente a Rusia por primera vez
Como señaló esta semana la firma eslovaca de ciberseguridad
ESET, en conjunto con CYBERCOM, CISA y FBI marcan por primera vez a ComRAT y
Zebrocy vinculado formalmente a las unidades de ciberespionaje del gobierno
ruso.
La atribución tanto para ComRAT como para Zebrocy siempre se
ha realizado de manera informal en informes publicados por proveedores de
seguridad de propiedad privada, pero nunca en avisos publicados por agencias
gubernamentales.
El gobierno de los Estados Unidos no ha vinculado
ninguna de estas muestras recientes a ningún incidente de seguridad reciente.
En el pasado, ComRAT se utilizó para apuntar a ministerios de
relaciones exteriores y un parlamento nacional (según ESET), mientras que
Zebrocy se utilizó para apuntar a embajadas y ministerios de relaciones
exteriores (también, según ESET).
Se han identificado víctimas de
ambos malware en Europa del Este y Asia Central, dijo el Comando Cibernético
de EE. UU.
A principios de esta semana, el proveedor de
ciberseguridad Accenture también publicó un
informe
sobre las operaciones recientes de Turla y su prevalencia en el uso del
malware ComRAT.
El aviso conjunto del gobierno de EE. UU. Se
publicó en Halloween. Las agencias de seguridad cibernética de EE. UU. Se han
acostumbrado recientemente a exponer las operaciones de malware en días
festivos conocidos como una forma de enviar saludos a los actores de amenazas
extranjeros.
An implant dropper dubbed #ComRATv4 recently attributed by @CISAgov and @FBI to Russian sponsored APT, Turla. It was likely used to target ministries of foreign affairs and national parliament.
@CNMF_CyberAlert continues to disclose #malware samples on: https://t.co/fSgk1xpG8t pic.twitter.com/c2jmozTAyB— USCYBERCOM Cybersecurity Alert (@CNMF_CyberAlert) October 29, 2020
