El grupo APT Gamaredon ataca con nuevas herramientas en sus últimas campañas

  • Actualidad

Eset ha lanzado una alerta sobre las nuevas herramientas Gamaredon, un grupo activo al menos de 2013, que ahora aprovecha Outlook y macros de Office para atacar a sus víctimas.

 

Recomendados: 

WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro 

WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Una nueva investigación del laboratorio de Eset  ha descubierto que el grupo Gamaredon está utilizando nuevas herramientas en sus campañas. Una de ellas se dirige contra Microsoft Outlook y utiliza un proyecto Visual Basic para aplicaciones (VBA) personalizado. Este malware permite al atacante utilizar la cuenta de correo de la víctima para enviar correos fraudulentos dirigidos a contactos de la agenda. La otra se utiliza para inyectar macros, o referencias en plantillas remotas de documentos de Office (tanto Word como Excel).

La inyección de macros referencias en los documentos existentes en el sistema atacado, que es poco común en la actualidad, es una forma muy efectiva de introducirse en la red de una organización, ya que los documentos suelen ser compartidos de forma rutinaria por diferentes compañeros de trabajo. Además, según explica la compañía de seguridad, mediante una función especial que falsifica la configuración de seguridad de las macros de Microsoft Office, el usuario afectado no sabe que está comprometiendo su dispositivo cada vez que abre los documentos.

El grupo usa puertas traseras y el robo de archivos para identificar y recopilar documentos sensibles del sistema comprometido, y los carga luego en un servidor de mando y control. Además, estos ladrones de archivos tienen la capacidad de ejecutar código de forma arbitraria desde el servidor de mando y control.

Una de las diferencias más importantes entre este y otros grupos APT es que los atacantes de Gamaredon no han hecho grandes esfuerzos para permanecer ocultos. A pesar de que sus herramientas cuentan con la capacidad de utilizar técnicas para pasar desapercibidos, parece que uno de los objetivos del grupo es distribuir su malware de la forma más rápida y extensa posible para extraer datos de las redes atacadas.

Eset ha lanzado un alerta sobre ello ya que, como explica en un post Jean-Ian Boutin, su responsable de investigaciones de amenazas, “aunque atacar una cuenta de correo y enviar mensajes maliciosos sin consentimiento de la víctima no es una técnica novedosa, creemos que es el primer caso documentado públicamente de un grupo que utiliza archivos OTM y macros de Outlook para conseguirlo. Hemos conseguido recoger muchas muestras diferentes de scripts maliciosos, ejecutables y documentos utilizados por el grupo Gamaredon en sus diferentes campañas”.