ESET, compañía líder en detección proactiva de amenazas, realizó una investigación que devela un nuevo ataque del grupo Sednit. Sednit, también conocido como APT28, Fancy Bear y Sofacy, es un grupo de atacantes que operan desde al menos 2004 y cuyo objetivo
principal es robar información confidencial de objetivos específicos.
El mes pasado, este grupo volvió a mostrar actividad, aparentemente para interferir en las elecciones francesas y atacar al candidato centrista Emmanuel Macron. En este mismo período, a los investigadores de ESET les llamó la atención un correo electrónico de phishing que contenía un archivo adjunto llamado Trump’s_Attack_on_Syria_English.docx (Ataque de Trump a Siria en inglés). Al analizar el documento se reveló que su objetivo real era descargar el archivo Seduploader, una herramienta de Sednit empleada para detectar sus objetivos de ataque.
Para lograr su propósito, el grupo Sednit utilizó dos exploits (fragmento de código que permite a un atacante aprovechar una falla en el sistema para ganar control sobre el mismo) 0-day: uno para aprovechar una vulnerabilidad de ejecución remota de código en Microsoft Word y otro para escalar privilegios de usuarios locales en Windows. ESET informó sobre ambas vulnerabilidades a Microsoft, que ya lanzó parches como parte de su programa habitual de revisiones.
Este ataque se propagaba mediante un correo electrónico de phishing (ataque que se comete con el objetivo de adquirir fraudulentamente información personal y/o confidencial de la víctima haciéndose pasar por una persona o empresa de confianza) que usaba la temática del ataque de Trump a Siria. El archivo adjunto infectado es un documento señuelo que contiene una copia literal de un artículo titulado “Trump’s Attack on Syria: Wrong for so Many Reasons” (Ataque de Trump a Siria: un error por muchísimas razones), publicado el 12 de abril de 2017 en The California Courier. Este documento señuelo es el que contenía dos exploits que permiten la instalación de Seduploader.
“Esta campaña nos muestra que el grupo Sednit no ha cesado sus actividades. Siguen manteniendo sus viejos hábitos: utilizan métodos de ataque conocidos y reutilizan código de otras campañasmaliciosas o de sitios web públicos; como cuestión adicional en esta campaña los atacatantes cometieron errores tipográficos en la configuración de Seduploader (shel en vez de shell). Desde los distintos laboratorios de investigación de ESET estamos siempre atentos a encontrar e investigar cualquier movimiento extraño de manera de advertir a los usuarios”, mencionó Camilo Gutierrez, Jefe del Laboratorio de Investigación de ESET Latinoamérica.