“Rockect” sigue ronroneando a pesar de sus estrategias básicas de intrusión

Soy Digital

Usar herramientas ilegales y campañas amplias de spear phishing le han permitido al grupo de hackers seguir golpeando las medidas de seguridad de Estados Unidos, Europa e Irán.

Selene Agüero

De los grupos de atacantes más conocidos en el mundo de las comunicaciones y la seguridad cibernética, el gato “Rockect” continúa ronroneando sutilmente para aumentar su número de víctimas con una característica que lo hace especialmente particular.

El grupo de ciberespionaje reconocido mundialmente por las herramientas  de penetración poco sofisticadas que utilizan y por mantener la costumbre de modificar en pequeños rasgos el software malicioso cada vez que es descubierto, sigue vigente en el ámbito de los ataques.

De acuerdo con la información obtenida por Check Point en el estudio “El gato Rocket, una campaña con 9 vidas”, el grupo que trabaja bajo el perfil Atacante- Estado Nación, se vale de spear phishing para infectar su malware a la gran lista de víctimas que incluyen embajadas de países, investigadores iraníes, activistas de derechos humanos, periodistas, medios de comunicación y estudiantes y científicos del campo nuclear.

Puede leer: Hackers pueden esconderse hasta 205 días en su red

Para realizar sus operaciones, como todo felino Rocket, se ha valido de su astucia para utilizar ilegalmente dentro de sus planes una herramienta de penetración creada por Core Security, esta herramienta PT legítima llamada Core Impact fue rebautizada  y explotada por el equipo Rocket como Gholee.

Además de adueñarse de Core Security, el equipo también se apoderó de una credencial basada en A.NET para almacenarse en el ordenador infectado.

Tal y como se explica en estudios anteriores que buscan los rastros de las huellas de Rocket, el inocente felino únicamente requiere una página de phishing hecha a la medida y servidores de bajo costo para emplear campañas efectivas de spear phishing que le permitan propagar el malware. Adicional a los pocos requerimientos de ataque, el equipo explota los diversos esquemas de phishing utilizando correos de ida y vuelta y llamadas telefónicas para establecer la legitimidad y la razón por la cuál sus víctimas deben abrir el archivo adjunto malicioso.

¿Qué hay dentro de Rocket?

El malware de Rocket inicia su estrategia utilizando la herramienta CWoolger-a C ++ basado ‘key-logger de lana, que se encarga de registrar todas las pulsaciones y enviar los datos clave de registro en un disco con codificación. Una vez registradas las pulsaciones, el malware permite una plataforma para el acceso remoto, pivotando el movimiento lateral y la instalación de malware con la herramienta Ghoole que en su interior contiene a Core.

Para copiar las contraseñas alojadas en el almacenamiento del navegador Firefox, el grupo utiliza FireMalv-a .NET y para obtener claves de registro, , así como la ejecución remota de comandos, la captura de pantalla el acaparamiento y la vigilancia del tráfico se ejecutan herramientas tales como MPK que permiten funcionalidades más amplias. 

Además de malware personalizado por escrito, los atacantes utilizan diversas herramientas de hacking y escaneo para atacar  las páginas web de las víctimas, como metasploit  Payload ‘meterpreter’ de Metasploit estaba envuelto en un archivo ejecutable y se distribuye como una plaga adjunta a correos electrónicos de phishing.

En campañas de ataque como “Thamar Embalse” realizada en junio del presente año donde realizaron la violación de la página web de una institución académica israelí para servir como un servicio de hosting para el sitio web de phishing, el grupo de atacantes utiliza estrategias como, Acunetix y Netsparker-off-the-shelf scanners de vulnerabilidades Web,  para tratar de descubrir de forma automática y explotar vulnerabilidades en plataformas web comunes.

Conozca:  Con la fuerza de un Jedi evite que sus data center sean invadidos

Además hacen aplicación de WSO Web Shell, otra herramienta rebautizada y conocida como script PHP, que permite el acceso de puerta trasera en un servidor hackeado.

Parte de los hallazgos del  estudio, indican que presuntamente los atacantes usan servidores C & C u otros servidores configurados como proxy puntos finales / VPN para canalizar sus ataques.

Parte de los rastros que la compañía Check Point encontró en la llamada “sonda servidor” que estableció para dar con el escondite donde se refugiaba el característico felino, se encontró una interfaz similar a “Webalizer” que los atacantes nombraron como “Oyun” y que proporciona análisis útil, incluyendo contadores y enlaces frecuentes de visitas.

“El resto de la interfaz simple permite el acceso a la base de datos phakeddb, incluyendo la inserción, la edición de “proyectos” (objetivos) y hasta la plataforma de chat interno.

Además el equipo de investigación de Check Point encontró una característica que define el nivel de “expertis” de los miembros de Rocket, que en un intento por querer probar si su herramienta podría capturar con precisión las credenciales introducidas en un HTTP de Firefox infectaron sus propias estaciones de trabajo.

Este artículo está clasificado como: , , , , , , , , , ,

Comentarios

Para poder comentar debe iniciar su sesión:

INGRESAR