Ha surgido una sofisticada campaña cibernética que dirige la industria de TI rusa, lo que demuestra cómo los actores de amenaza están aprovechando cada vez más plataformas en línea legítimas para distribuir el notorio malware de baliza Cobalt Strike.
La campaña, que alcanzó su punto máximo durante noviembre y diciembre de 2024 y continuó hasta abril de 2025, representa una evolución significativa en la metodología de ataque, utilizando plataformas populares de redes sociales y repositorios de código como infraestructura de comando y control.
Los atacantes emplearon un intrincado mecanismo de entrega de varias etapas que comienza con correos electrónicos de phishing de lanza disfrazados de comunicaciones legítimas de las principales empresas estatales, particularmente dentro del sector de petróleo y gas.
Correo electrónico de phishing de lanza (fuente – Securelist)
Estos mensajes cuidadosamente elaborados contenían archivos rar maliciosos diseñados para evadir los sistemas de detección de seguridad tradicionales.
El alcance de la campaña se extendió más allá de Rusia, con evidencia de actividad maliciosa detectada en China, Japón, Malasia y Perú, principalmente dirigida a empresas grandes y medianas.
Lo que distingue a esta campaña es su uso innovador de las plataformas de redes sociales y los sitios web populares como terrenos de puesta en escena para cargas útiles maliciosas.
Analistas de seguridad identificado que los atacantes establecieron perfiles falsos en Github, Microsoft Learn Challenge, Quora y las redes sociales en idioma ruso para albergar información de carga útil codificada.
Esta técnica permite que el malware se mezcle sin problemas con el tráfico web legítimo, lo que hace que la detección sea significativamente más desafiante para las soluciones de seguridad tradicionales.
La sofisticación del ataque se extiende a su implementación técnica, empleando técnicas de evasión avanzada, incluido el secuestro de DLL y la resolución de API dinámica.
El malware se dirige específicamente a la utilidad legítima de informes de bloqueo de plano de bugsplat, explotándolo a través de una técnica conocida como sustitución de DLL para cargar código malicioso mientras mantiene la apariencia de las operaciones normales del sistema.
Mecanismo de infección técnica
La cadena de infecciones comienza cuando las víctimas abren el archivo de rar malicioso, que contiene una jerarquía de directorio cuidadosamente estructurada diseñada para engañar a los usuarios.
El archivo incluye archivos PDF de aspecto legítimo junto con un archivo lnk malicioso llamado “требовани ve.lnk” que sirve como el vector de ejecución inicial.
Requisitos.lnk secuencia de ejecución (fuente – SecurElist)
Tras la ejecución, el archivo LNK realiza una serie de operaciones de archivo a través de la siguiente secuencia de comando:-
% CD% /C echo f | XCOPY /H /H %CD %\ Requisitos \ Requisitos %Public %\ Downloads \ & Start %CD %\ Requisitos & Ren %Public %\ downloads \ Company.pdf nau.exe & Ren %Public %\ downloads \ requisitos.pdf bugsplatrc64.dll & %public %\ downloads \ nau.exe
Esta secuencia copia archivos ocultos en el directorio de descargas, los cambia a aparecer como ejecutables legítimos y lanza la carga útil principal.
Diagrama de flujo de proceso para nau.exe (fuente – Securelist)
El malware explota la utilidad de informes de bloqueo de Bugsplat secuestrando su DLL requerido, lo que lo obliga a cargar código malicioso en lugar de una funcionalidad legítima.
Luego, el malware consulta los perfiles de redes sociales que contienen datos codificados por XOR, codificados por XOR que revelan URL adicionales de carga útil.
El análisis reveló la comunicación con los perfiles en https://techcommunity.microsoft.com/t5/user/viewprofilepage/user-id/2631 y https://www.quora.com/profile/marieformach, con los datos extraídos que apuntan a los repositorios de Github alojando la carga de pago de la huella de cobalt final.
Esta campaña demuestra el panorama de amenazas en evolución en el que los atacantes explotan la confianza que no tiene la confianza en las plataformas populares para establecer una infraestructura resistente de comando y control, destacando la necesidad de mayores capacidades de detección que pueden identificar actividades maliciosas en servicios web legítimos.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
