El Comando Cibernético de los Estados Unidos (USCYBERCOM) emitió una alerta en Twitter advirtiendo sobre la actividad en curso dirigida a infectar las redes gubernamentales al explotar una vulnerabilidad de Microsoft Outlook. La alerta se refiere una vulnerabilidad en la aplicación de Outlook con el nombre CVE-2017-11774 (SB2017101012 # 1), que se descubrió en 2017.
USCYBERCOM has discovered active malicious use of CVE-2017-11774 and recommends immediate #patching. Malware is currently delivered from: 'hxxps://customermgmt.net/page/macrocosm' #cybersecurity #infosec— USCYBERCOM Malware Alert (@CNMF_VirusAlert) 2 de julio de 2019
La falla, que Microsoft reparó en octubre de 2017, se ha descrito como una omisión de características de seguridad que puede permitir que un atacante ejecute comandos arbitrarios en sistemas específicos. Según USCYBERCOM, los atacantes distribuyeron el malware utilizando el dominio customermgmt.net. USCYBERCOM ha compartido varias muestras de malware relacionado con los ataques en VirusTotal e instó a los usuarios a parchar CVE-2017-11774.
Si bien los funcionarios no revelaron quién estaba detrás de los ataques, algunas pistas han dado pistas sobre la posible participación de APT33 (también conocido como Elfin), un enlace vinculado a Irán, que se cree que está realizando operaciones de espionaje cibernético en nombre del gobierno iraní.
De acuerdo con el informe de FireEye de diciembre de 2018, APT33 había estado utilizando CVE-2017-11774 y una herramienta de prueba de código abierto llamada Ruler para entregar malware. Los investigadores creen que las muestras de malware compartidas por USCYBERCOM también se relacionaron con los ataques lanzados por APT33. Y Brandon Levene, de Chronicle Security, dijo que las muestras de código de Cyber Command parecían estar relacionadas con el malware Shamoon que limpia el disco de APT33.
Tres de las cinco herramientas cargadas por USCYBERCOM son "probablemente utilizadas" para la manipulación de servidores web comprometidos, mientras que las otras dos son descargadores que utilizaron PowerShell para cargar la RAT PUPY, explicó Levene. “Si la observación de CVE-2017-11774 es cierta, esto arroja algo de luz sobre cómo los atacantes de Shamoon pudieron comprometer sus objetivos. "Se especuló mucho sobre la participación de los phishing, pero no se publicó mucha información sobre los vectores iniciales", dijo.
