El grupo de ciberdelincuentes APT28, atribuido a la Dirección Principal de Inteligencia del Estado Mayor ruso por una acusación del Departamento de Justicia de Estados Unidos en 2018, están utilizando una nueva técnica de ataque consistente en implantar un malware a través de un documento de PowerPoint malicioso. Así lo advierte un informe de la compañía de ciberseguridad Cluster25 en el que comparte los hallazgos realizados por sus investigadores al detectar y analizar esta ciberamenaza.
Cómo funciona la campaña
Según explica el documento, el archivo señuelo de PowerPoint explota una táctica de ejecución de código que está diseñada para activarse cuando el usuario inicia el modo de presentación y mueve el ratón. A partir de ahí, el software malicioso ejecuta un script de la herramienta PowerShell, que descarga y activa un dropper desde la solución de almacenamiento de Microsoft OneDrive. Este troyano, cuyo aspecto de imagen aparentemente resulta inofensivo, funciona como medio para incorporar un fichero o payload persistente, el cual inyecta un nuevo archivo ejecutable. Según ha concluido el análisis, este archivo ejecutable es una variante de una familia de malware denominada "Graphite", que únicamente ha sido vinculada al grupo APT28 y que usa Microsoft Graph API y OneDrive para sus comunicaciones de comando y control (C&C) para obtener información.
Otro descubrimiento interesante de la investigación de Cluster25, extraído a partir de los metadatos del documento señuelo de PowerPoint, es que el grupo de atacantes ruso – también conocido Fancy Bear, TSAR Team, Pawn Storm, Sednit– utilizó una platilla potencialmente vinculada a la Organización para la Cooperación y el Desarrollo Económico (OCDE) que contiene dos diapositivas con el mismo contenido, la primera escrita en inglés y la segunda en francés y que muestra instrucciones sobre el uso de la opción de "Interpretación" disponible en la plataforma Zoom.
La campaña podría seguir activa y se dirige a objetivos europeos
A partir de los metadatos extraídos, los investigadores también señalan que esta campaña se preparó entre enero y febrero de 2022, pero que las URL que utilizan aparecieron activas durante el tercer trimestre de este año. Además, apuntan que sus objetivos potenciales son entidades e individuos que operan en la Defensa y en sectores gubernamentales de Europa y de países de Europa del este.
Medidas de prevención
Para evitar ser víctima de esta campaña, Nunsys ha creado un listado de medidas de prevención que pueden ayudar a garantizar la seguridad de las organizaciones, según informa Europa Press enumerando las siguientes:
- Contar con las denominadas herramientas EDR, esto es, de detección y respuesta del 'endpoint', es decir, del dispositivo informático empleado ya que con ellas se puede monitorizar el tráfico entre dispositivos y red y proteger equipo.
- Prohibir el uso de macros en documentos ofimáticos que provengan de fuentes sospechosas y deshabilitar la interfaz de línea de comandos (PowerShell) en perfiles de usuario que no lo necesiten.
- Disponer de herramientas de gestión y despliegue centralizado de parches de seguridad de los sistemas operativos, verificando también en la web de los fabricantes que se está haciendo uso de la última versión de software.
- Realizar copias de seguridad del sistema, ya que es un recurso importante para prevenir que los usuarios maliciosos puedan manipular o eliminar las copias de seguridad.
- Desplegar sistemas de seguridad perimetral, como cortafuegos, así como permanecer informado de las noticias sobre ciberseguridad vinculadas a nuevas vulnerabilidades y mecanismos de ataque.