El grupo de investigación de amenazas Cisco Talos ha descubierto una nueva campaña dirigida a funcionarios y empresas del gobierno de Azerbaiyán en la industria eólica del país. Los atacantes están utilizando un nuevo malware llamado PoetRat por los investigadores debido a las diversas referencias al dramaturgo inglés William Shakespeare.
El PoetRat es un troyano de acceso remoto equipado con todas las funciones comunes para este tipo de malware que proporciona un control total del sistema comprometido a la operación. Para la exfiltración, utiliza FTP, que denota la intención de transferir grandes cantidades de datos.
Los piratas informáticos monitorearon directorios específicos para exfiltrar cierta información sobre las víctimas y usaron un keylogger, ladrones de credenciales de navegador y Mimikatz y pypykatz para una mayor recolección de credenciales, dijeron los investigadores.
Cuando fue necesario, los atacantes implementaron manualmente herramientas adicionales en el sistema de destino, como una herramienta llamada "dog.exe" que se usa para monitorear el disco duro y filtrar datos automáticamente, Bewmac (secuencia de comandos de Python para grabar la cámara web de la víctima), "Browdec" (navegador robo de contraseñas enfocado). Los atacantes también emplearon keyloggers y otros ladrones de contraseñas genéricos.
Además, los piratas informáticos realizaron ataques de phishing utilizando el sitio web de phishing disfrazado de correo web de la infraestructura de correo web del Gobierno de Azerbaiyán.
Los investigadores dijeron que los atacantes también han mostrado interés en los sistemas de control, conocidos como sistemas de Control de Supervisión y Adquisición de Datos (SCADA), utilizados en turbinas eólicas en Azerbaiyán, aunque Cisco Talos no reveló ningún detalle sobre estos ataques.
El malware PoetRat se distribuye a través de un documento MS Word armado, aunque actualmente el método exacto de entrega no está claro.
"Sin embargo, dado que está disponible para descargar desde una URL básica, no sería sorprendente si las víctimas fueran engañadas para descargarlo por correo electrónico o mensaje de red social", dijeron los investigadores.
El documento de Word es un cuentagotas que contiene un script de Visual Basic que ejecutará las actividades maliciosas. El script carga su propio documento en la memoria, que es un archivo ZIP ("smile.zip") que contiene un intérprete de Python, así como un script de Python que es la RAT.
Las macros de Word también descomprimirán y ejecutarán un script principal llamado "launcher.py", que verifica el entorno, cuando se abre el documento, para asegurarse de que no se trate de un entorno limitado (si tiene discos duros de menos de 62 GB). Si determina que está en un entorno de sandbox, elimina los scripts de malware. Si determina que no se está ejecutando en un entorno de espacio aislado, generará una ID única, que luego se reemplazará directamente con el código fuente de Python de los scripts principales antes de ejecutarlo.
“Según nuestra investigación, los adversarios pueden haber querido obtener credenciales importantes de los funcionarios del gobierno de Azerbaiyán. El malware intenta obtener imágenes de la víctima y utiliza una plataforma de correo dirigida al gobierno de Azerbaiyán. El atacante no solo quería información específica obtenida de las víctimas, sino también un caché completo de información relacionada con su víctima. Habrían podido obtener credenciales e información potencialmente muy importantes utilizando estas técnicas dada su victimología. Al usar Python y otras herramientas basadas en Python durante su campaña, el actor puede haber evitado la detección por herramientas tradicionales que han incluido en la lista blanca las técnicas de ejecución de Python y Python ”, explicó el equipo de Cisco Talos.
https://blog.talosintelligence.com/2020/04/poetrat-covid-19-lures.html
Imagen: https://threatpost.com/new-poetrat-hits-energy-sector-with-data-stealing-tools/154876/
