Llegamos a ustedes gracias a:



Alertas de Seguridad

Ataque del grupo Sednit

Utiliza el conflicto entre EE.UU. y Siria como señuelo

[15/05/2017] Eset realizó una investigación que devela un nuevo ataque del grupo Sednit. Sednit, también conocido como APT28, Fancy Bear y Sofacy, es un grupo de atacantes que operan desde al menos el 2004 y cuyo objetivo principal es robar información confidencial de objetivos específicos.

"El mes pasado, este grupo volvió a mostrar actividad, aparentemente para interferir en las elecciones francesas y atacar al candidato centrista Emmanuel Macron. En este mismo período, a nuestros investigadores les llamó la atención un correo electrónico de phishing que contenía un archivo adjunto llamado Trump's_Attack_on_Syria_English.docx (Ataque de Trump a Siria en inglés). Al analizar el documento se reveló que su objetivo real era descargar el archivo Seduploader, una herramienta de Sednit empleada para detectar sus objetivos de ataque, comentó Camilo Gutierrez, jefe del Laboratorio de Investigación de Eset Latinoamérica.

Para lograr su propósito, añadió el ejecutivo, el grupo Sednit utilizó dos exploits (fragmento de código que permite a un atacante aprovechar una falla en el sistema para ganar control sobre el mismo) 0-day: uno para aprovechar una vulnerabilidad de ejecución remota de código en Microsoft Word y otro para escalar privilegios de usuarios locales en Windows. Eset informó sobre ambas vulnerabilidades a Microsoft, que ya lanzó parches como parte de su programa habitual de revisiones.

"Este ataque se propagaba mediante un correo electrónico de phishing (ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima haciéndose pasar por una persona o empresa de confianza) que usaba la temática del ataque de Trump a Siria. "El archivo adjunto infectado es un documento señuelo que contiene una copia literal de un artículo titulado "Trump's Attack on Syria: Wrong for so Many Reasons (Ataque de Trump a Siria: un error por muchísimas razones), publicado el 12 de abril de 2017 en The California Courier. Este documento señuelo es el que contenía dos exploits que permiten la instalación de Seduploader, anotó Gutierrez.

Añadió que esta campaña nos muestra que el grupo Sednit no ha cesado sus actividades. "Siguen manteniendo sus viejos hábitos: utilizan métodos de ataque conocidos y reutilizan código de otras campañas maliciosas o de sitios web públicos; como cuestión adicional, en esta campaña los atacantes cometieron errores tipográficos en la configuración de Seduploader (shel en vez de shell). Desde los distintos laboratorios de investigación de Eset estamos siempre atentos a encontrar e investigar cualquier movimiento extraño de manera de advertir a los usuarios, indicó el ejecutivo.