El panorama de la seguridad cibernética enfrenta una amenaza renovada ya que TA829, un grupo de actores de amenaza sofisticado, ha surgido con tácticas, técnicas y procedimientos (TTP) mejorados junto con una versión mejorada del notorio paquete de romcom.
Este grupo híbrido de aficionamiento cibercriminal ha demostrado una notable adaptabilidad, realizando ataques con motivación financiera y operaciones de espionaje alineadas por el estado, particularmente después de la invasión de Ucrania.
El posicionamiento único del actor en el ecosistema de amenazas representa una evolución preocupante en la guerra cibernética moderna, donde los límites tradicionales entre el delito cibernético y el espionaje continúan difuminando.
La metodología de ataque de TA829 se centra en campañas de phishing altamente específicas que aprovechan los enrutadores Mikrotik comprometidos que operan como servicios de poder REM.
Entrega e instalación para unk_greensec y TA829 (fuente – Proofpoint)
Estos dispositivos comprometidos, que generalmente alojan los servicios SSH en el puerto 51922, sirven como infraestructura aguas arriba para transmitir el tráfico malicioso a través de cuentas recién creadas en proveedores de masa masa.
Las campañas de correo electrónico del grupo cuentan con mensajes de texto de formación con temas genéricos de trabajo de trabajo o quejas, cada una que contenga enlaces únicos que enriquecen los objetivos a través de cadenas de redirección elaboradas antes de entregar la carga útil maliciosa.
El arsenal del grupo incluye varias variantes de malware sofisticadas, con la puerta trasera de comedia romántica actualizada que ahora se manifiesta como single y dustyhammock.
Investigadores de prueba identificado Estas variantes como parte del conjunto de herramientas actualizados regularmente de TA829, señalando su integración en un sistema de gestión de infecciones unificadas.
El malware demuestra capacidades de evasión avanzadas a través de operaciones basadas en el registro y sofisticadas técnicas anti-análisis.
Después de la infección inicial a través de los correos electrónicos de phishing que falsifican las interfaces OneDrive o Google Drive, las víctimas descargan sin saberlo el cargador Slipscreen, que sirve como la primera etapa de la cadena de infecciones.
Este cargador, a menudo firmado con certificados fraudulentos y disfrazado de iconos de lector de PDF, implementa mecanismos de evasión de detección múltiples.
El malware realiza comprobaciones de registro críticas para garantizar que el sistema objetivo contenga al menos 55 documentos recientes, evitando efectivamente entornos de sandbox que generalmente carecen de tales trazas de actividad del usuario.
Mecanismo de persistencia basado en el registro avanzado
La evolución más notable en la puerta de entrada de comedias románticas mejoradas de TA829 radica en su sofisticado mecanismo de persistencia basado en el registro.
El cargador Slipscreen descifra y ejecuta ShellCode directamente dentro de su espacio de memoria, iniciando comunicaciones con servidores de comando y control solo después de una validación ambiental exitosa.
TA829 Descargar JavaScript (Fuente – Proofpoint)
Tras la verificación, el sistema descarga componentes adicionales que incluyen RustyClaw o MeltingClaw Loaders, que establecen persistencia a través de técnicas de secuestro de COM.
El mecanismo de persistencia implica manipular claves de registro específicas como Software \ Classes \ CLSID \ {2155FEE3-2419-4373-B102-6843707EB41F} \ inProcserver32, lo que permite que el sistema de malware se vuelva a superar el ejecución durante el explorador.
Esta técnica incorpora efectivamente el malware en lo profundo de los procesos centrales del sistema operativo de Windows, lo que hace que la detección y la eliminación sean significativamente más desafiantes para las soluciones de seguridad tradicionales.
El enfoque basado en el registro también permite al malware almacenar cargas útiles cifradas en múltiples ubicaciones de registro, lo que complica aún más los esfuerzos de análisis forense.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
