Ciberpiratas de Cranefly utilizan técnicas sigilosas para distribuir y controlar malware

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un dropper no documentado hasta ahora ha sido descubierto instalando puertas traseras y otras herramientas utilizando la nueva técnica de lectura de comandos de registros aparentemente inocuos de Internet Information Services (IIS).

El dropper ha sido descubierto por los investigadores de ciberseguridad de Symantec, que afirman que un actor está utilizando el trozo de malware apodado Cranefly (alias UNC3524) para instalar otro trozo de malware no documentado (Trojan.Danfuan) y otras herramientas.

Cranefly fue descubierto por primera vez por Mandiant en mayo, y la compañía de seguridad dijo que el grupo se dirigió en gran medida a los correos electrónicos de los empleados que trabajaban en el desarrollo corporativo, las fusiones y adquisiciones y las grandes transacciones corporativas.

Según Mandiant, estos atacantes pasaron al menos 18 meses en las redes de las víctimas y utilizaron puertas traseras en aparatos que no soportaban herramientas de seguridad para no ser detectados.

El nuevo aviso de Symantec dice ahora que algunas de las puertas traseras utilizadas por UNC3524 se basaban en Hacktool.Regeorg, una herramienta de código abierto utilizada por múltiples grupos de amenazas persistentes avanzadas (APT).

Además, Symantec ha advertido que el uso de una técnica novedosa junto a las herramientas personalizadas y los pasos dados para ocultar su actividad indican que Cranefly es un grupo de atacantes “bastante hábil”.

Symantec ha proporcionado una lista de indicadores de compromiso (IoC) sobre esta amenaza en su aviso, así como en su página de Boletines de Protección.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *