Un grupo organizado de
ciberdelincuentes ha atacado y, posiblemente, infectado a empleados del
gobierno croata entre los meses de febrero y abril de este año.
Los atacantes han llevado a cabo una
campaña de phishing que imitaba las notificaciones de entrega de los servicios
postales croatas u otras empresas. Los correos electrónicos contenían un enlace
a una página web con URL similar a la original en la que se pedía a los
usuarios que descargasen un documento de Excel.
Cuidado con los adjuntos
Como es de esperar, el documento
ocultaba en las macros numerosas líneas de código malicioso. Una vez que
abrimos el documento se nos descargaría e instalaría malware en el equipo.
Durante el análisis del ataque fueron detectados dos payloads distintos.
El primero fue reconocido como la
puerta trasera Empire, un componente de Empire post-exploitation framework, y
el segundo se reconoció como SilentTrinity, otra herramienta post-explotación
similar a la primera.
El gobierno croata detectó el ataque
en abril
La oficina de seguridad de sistemas de
información, la autoridad responsable de la ciberseguridad de los organismos
estatales de Croacia, emitió una alerta sobre el ataque
La agencia estatal de ciberseguridad
compartió claves de registro, nombres de archivos, URLs e IPs de los servidores
de control (C2) que usaban los atacantes y además, pidió a las agencias
estatales que revisasen los registros y analizasen los equipos en busca de
malware.
No se le ha atribuido la autoría del
ataque a ningún grupo específico pero tras la investigación los expertos
dijeron que «los datos disponibles sobre los hosts, direcciones y dominios
utilizados, así como el alto número de conexiones entre ellos, sugieren un
esfuerzo a gran escala.»
Más información
Fuente: Hispasec