Se ha detectado un ciberataque de varias etapas procedente de un archivo LNK malicioso dirigido a empresas de atención sanitaria.
Cuando se ejecuta el archivo LNK, inicia un comando de PowerShell que descarga y ejecuta cargas útiles adicionales, como archivos BAT o scripts de PowerShell, desde el servidor remoto.
“Este ataque implica crear una cuenta de administrador en el sistema de la víctima y modificar la configuración del escritorio remoto para reducir los requisitos de autenticación, simplificando el acceso RDP no autorizado para el atacante”, compartió Cyble Research and Intelligence Labs (CRIL) con Cyber Security News.
Descripción general de la campaña de ciberataques en varias etapas
Durante los últimos 12 meses, los grupos anónimos han resurgido continuamente con diferentes temas de tentación y métodos de ataque sin cambios.
La guía definitiva para gestionar los precios SIEM -> Descarga gratuita
Este ataque, identificado como HeptaX, utiliza principalmente scripts de PowerShell y Batch para apoderarse de servidores vulnerables.
cadena de ataque
Primero, el script de PowerShell descargado crea una URL base que se utiliza para descargar cargas útiles de etapa adicionales y entregar información. La primera función del script de PowerShell es obtener el identificador único (UID) del sistema comprometido.
Además, el script de PowerShell descarga y ejecuta un documento señuelo protegido con contraseña desde un servidor remoto. Este script está destinado principalmente a evaluar la configuración del Control de cuentas de usuario (UAC) de su sistema.
Esto se hace utilizando las mismas comprobaciones de registro que se utilizaron anteriormente para determinar si UAC está activado y si la solicitud de consentimiento del administrador todavía está activa.
Al conectarse al servidor se iniciará un nuevo script de PowerShell. Este script tiene una serie de funciones diseñadas para comunicarse con servidores remotos, exfiltración de datos y sistemas de reconocimiento.
Nombre de la computadora y nombre de usuario. Obtenga archivos recientes del directorio C:\Users\\AppData\Roaming\Microsoft\Windows\Recent. Obtenga detalles de configuración de red usando “ipconfig /all”. Listado de usuarios de la máquina (usuarios netos). Obtenga los detalles del usuario actualmente conectado. Identifica el grupo de usuarios local asociado con el usuario actual. Obtenga directorios excluidos en Windows Defender. Enumera los productos antivirus instalados. Capture los procesos en ejecución utilizando la “Lista de tareas”. Recopile información de todo el sistema utilizando 'systeminfo'. Todos estos datos se guardan en un archivo de registro ubicado en “C:\Windows\Temp\OneDriveLog\OneDrive.log”.
“Una vez que se ha recopilado toda la información, se ha desactivado el Control de cuentas de usuario (UAC), se ha creado una nueva cuenta de usuario llamada 'BootUEFI' con privilegios administrativos y se han relajado los requisitos de autenticación de Terminal Services, el TA accede fácilmente a escritorios remotos comprometidos . ”, dijo el investigador.
Durante el año pasado, este grupo de amenazas también se vinculó a campañas anteriores que contenían archivos maliciosos con nombres como:
SOW_for_Nevrlate.pdf WebContentWriting_Handout.pdf Blockchain_Trading_Website_Manager.docx Descripción del proyecto: asistente inteligente de jvope Proyecto Vhyro firma de jvope.pdf Currículum: saxofón profesional, teclados, guitarrista y estrella mundial con más de 40 años de experiencia en su propia banda Accompaniment.pdf Dropshipping Propuesta de proyecto Elien – Ventilación suave del servicio en línea de xihu.pdf.lnk
Los archivos notables de esta campaña incluyen:
202409_Resident_Care_Quality_ Improvement_Strategies_for_Nursing_Homes_Enhancing_Patient_Satisfaction_and_Health_Outcomes.pdf.lnk
La diversidad de nombres de archivos y temas indica un enfoque amplio de focalización en múltiples industrias, lo que sugiere que esta pandilla está personalizando sus campañas para atraer a una variedad de víctimas.
Recomendaciones
Utilice potentes herramientas de filtrado de correo electrónico para identificar archivos adjuntos dañinos y evitar que se propaguen. Tenga cuidado al trabajar con enlaces y archivos adjuntos en correos electrónicos. Considere desactivar la ejecución de archivos de acceso directo (.lnk) en los archivos adjuntos de correo electrónico. Supervise periódicamente los cambios en el Control de cuentas de usuario (UAC). Fortalezca la seguridad del Protocolo de escritorio remoto (RDP) aprovechando la autenticación a nivel de red (NLA) e implementando métodos de autenticación sólidos, como la autenticación multifactor (MFA).
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
