Un actor de amenazas persistentes avanzadas (APT) está apuntando a funcionarios gubernamentales de alto rango que supervisan la política de seguridad nacional y a personas en la industria de defensa en Asia occidental. En lo que se cree que es el primer uso conocido de la táctica, la campaña de espionaje está aprovechando Microsoft OneDrive como un servidor de comando y control (C&C).
Según los investigadores de Trellix (anteriormente McAfee y FireEye), la campaña comenzó en junio de 2021, con dos víctimas reportadas en septiembre, seguidas de 17 más en octubre.
La cadena de ataque comienza con la ejecución de un archivo de Microsoft Excel que contiene un exploit para una vulnerabilidad de ejecución remota de código MSHTML (CVE-2021-40444), que se utiliza para ejecutar un binario malicioso que actúa como descargador de un malware de tercera etapa denominado Grafito. El ejecutable DLL usa OneDrive como el servidor C&C a través de la API de Microsoft Graph para recuperar malware adicional que finalmente descarga y ejecuta un marco de trabajo posterior a la explotación basado en PowerShell de código abierto llamado Empire, que comúnmente es abusado por los actores de amenazas para actividades de seguimiento.
Trellix atribuyó los ataques sofisticados con confianza moderada al grupo APT28 con sede en Rusia (también conocido como Swallowtail, Fancy Bear), basándose en similitudes en el código fuente, así como en los indicadores de ataque y los objetivos geopolíticos.
Fuente: https://www.trellix.com/en-gb/about/newsroom/stories/threat-labs/prime-ministers-office-compromised.html
