Alerta sobre un ataque del grupo Sednit

Alerta sobre un ataque del grupo Sednit

ESET devela un nuevo ataque de este grupo que opera con el propósito de robar información confidencial de objetivos específicos.

ESET realizó una investigación que devela un nuevo ataque del grupo Sednit. Sednit, también conocido como APT28, Fancy Bear y Sofacy, es un grupo de atacantes que operan desde al menos 2004 y cuyo objetivo principal es robar información confidencial de objetivos específicos.

El mes pasado, este grupo volvió a mostrar actividad, aparentemente para interferir en las elecciones francesas y atacar al candidato centrista Emmanuel Macron. En este mismo período, a los investigadores de ESET les llamó la atención un correo electrónico de phishing que contenía un archivo adjunto llamado Trump’s_Attack_on_Syria_English.docx.

Al analizar el documento se reveló que su objetivo real era descargar el archivo Seduploader, una herramienta de Sednit empleada para detectar sus objetivos de ataque.

Para lograr su propósito, el grupo Sednit utilizó dos exploits (fragmento de código que permite a un atacante aprovechar una falla en el sistema para ganar control sobre el mismo) 0-day: uno para aprovechar una vulnerabilidad de ejecución remota de código en Microsoft Word y otro para escalar privilegios de usuarios locales en Windows. ESET informó sobre ambas vulnerabilidades a Microsoft, que ya lanzó parches como parte de su programa habitual de revisiones.

Este ataque se propagaba mediante un correo electrónico de phishing (ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima haciéndose pasar por una persona o empresa de confianza) que usaba la temática del ataque de Trump a Siria.

Te puede interesar  ESET descubrió un botnet para Android que se controla a través de Twitter

El archivo adjunto infectado es un documento señuelo que contiene una copia literal de un artículo titulado “Trump’s Attack on Syria: Wrong for so Many Reasons”, publicado el 12 de abril de 2017 en The California Courier. Este documento señuelo es el que contenía dos exploits que permiten la instalación de Seduploader.

Esta campaña nos muestra que el grupo Sednit no ha cesado sus actividades. Siguen manteniendo sus viejos hábitos: utilizan métodos de ataque conocidos y reutilizan código de otras campañas maliciosos o de sitios web públicos; como cuestión adicional en esta campaña los atacantes cometieron errores tipográficos en la configuración de Seduploader (shel en vez de shell). Desde los distintos laboratorios de investigación de ESET estamos siempre atentos a encontrar e investigar cualquier movimiento extraño de manera de advertir a los usuarios”, dijo Camilo Gutierrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados


C&S se expande en Argentina

La compeñía inauguró nuevas oficinas en Suipacha 268 Piso 8, donde se desempeñarán los equipos de trabajo de las áreas...

Cerrar