Un actor de amenazas no identificado ha estado explotando una falla de día cero ahora parcheada en el navegador Internet Explorer para ofrecer un troyano de acceso remoto (RAT) basado en VBA con todas las funciones capaz de acceder a archivos almacenados en sistemas Windows comprometidos y descargar y ejecutar cargas maliciosas. como parte de una campaña «inusual».
La puerta trasera se distribuye a través de un documento señuelo llamado «Manifest.docx» que carga el código de explotación de la vulnerabilidad desde una plantilla incrustada que, a su vez, ejecuta el código shell para implementar la RAT, según la firma de seguridad cibernética Malwarebytes, que detectó el Word sospechoso. archivo el 21 de julio de 2021.
El documento lleno de malware afirma ser un «Manifiesto de los habitantes de Crimea» que llama a los ciudadanos a oponerse al presidente ruso Vladimir Putin y «crear una plataforma unificada llamada ‘Resistencia del Pueblo'».
La falla de Internet Explorer, rastreada como CVE-2021-26411se destaca por el hecho de que fue abusado por el Grupo Lazarus respaldado por Corea del Norte para apuntar a los investigadores de seguridad que trabajan en la investigación y el desarrollo de vulnerabilidades.
A principios de febrero, la firma de seguridad cibernética de Corea del Sur, ENKI, reveló que el colectivo de piratas informáticos alineado con el estado había hecho un intento fallido de atacar a sus investigadores de seguridad con archivos MHTML maliciosos que, cuando se abrieron, descargaron dos cargas útiles de un servidor remoto, una de las cuales contenía un código cero. día contra Internet Explorer. Microsoft abordó el problema como parte de sus actualizaciones de Patch Tuesday para marzo.
El exploit de Internet Explorer es una de las dos formas que se utilizan para implementar la RAT, mientras que el otro método se basa en un componente de ingeniería social que implica la descarga y ejecución de una plantilla remota armada con macro que contiene el implante. Independientemente de la cadena de infección, es probable que el uso de vectores de doble ataque sea un intento de aumentar la probabilidad de encontrar un camino hacia las máquinas objetivo.
«Si bien ambas técnicas se basan en la inyección de plantillas para colocar un troyano de acceso remoto con todas las funciones, el exploit IE (CVE-2021-26411) utilizado anteriormente por Lazarus APT es un descubrimiento inusual», dijo el investigador de Malwarebytes Hossein Jazi en un informe compartido con Las noticias de los hackers. «Los atacantes pueden haber querido combinar la ingeniería social y la explotación para maximizar sus posibilidades de infectar a los objetivos».
Además de recopilar metadatos del sistema, VBA RAT está orquestado para identificar los productos antivirus que se ejecutan en el host infectado y ejecutar los comandos que recibe de un servidor controlado por el atacante, incluida la lectura, eliminación y descarga de archivos arbitrarios, y extrae los resultados de esos comandos de vuelta a el servidor.
Malwarebytes también descubrió un panel basado en PHP apodado «Ekipa» que utiliza el adversario para rastrear a las víctimas y ver información sobre el modus operandi que condujo a la violación exitosa, destacando la explotación exitosa usando el día cero de IE y la ejecución del RATA.
“A medida que continúa el conflicto entre Rusia y Ucrania por Crimea, los ataques cibernéticos también han aumentado”, dijo Jazi. «El documento señuelo contiene un manifiesto que muestra un posible motivo (Crimea) y un objetivo (individuos rusos y prorrusos) detrás de este ataque. Sin embargo, también podría haber sido utilizado como una bandera falsa».
