El grupo UAC-0050 se destaca por su historial de ataques cibernéticos implacables, principalmente dirigidos hacia objetivos militares ucranianos. En su última operación, han desplegado una estrategia avanzada que utiliza un canal de transferencia de datos más sofisticado, eludiendo eficazmente las medidas de detección del Endpoint Detection and Response (EDR) y sistemas antivirus. Su arma preferida es el malware de espionaje RemcosRAT, conocido por su capacidad de vigilancia y control remoto. Además, el grupo ha integrado un método de "pipes" para la comunicación entre procesos, mostrando su avanzada capacidad de adaptación y ocultamiento.
Cadena de ataque
A continuación, se detalla paso a paso cómo se ejecuta el proceso de infección para finalmente desplegar el troyano de espionaje Remcos RAT.
Ilustración 1: Word con propuesta para militares ucranianos (distractor de infección)
Fuente: Uptycs
PASO 1 Inicio con un archivo LNK:
El ataque comienza con la ejecución de un archivo con extensión .lnk (archivo de acceso directo). Este tipo de archivo es utilizado para iniciar la descarga de recursos adicionales y puede ser manipulado para ejecutar scripts maliciosos.
PASO 2 Descarga de archivo HTA:
El archivo LNK es responsable de iniciar la descarga de un archivo HTA (Hypertext Application). El HTA es un formato de archivo que contiene scripts HTML y es ejecutado por el programa mshta[.]exe de Microsoft.
PASO 3 Script VBS dentro del HTA:
El archivo HTA contiene un script VBS (Visual Basic Scripting) que se activa tras su ejecución. Este script VBS es responsable de realizar acciones específicas y puede ser utilizado para la automatización de tareas.
PASO 4 Ejecución de script de PowerShell:
El script VBS, al ejecutarse, activa un script de PowerShell. PowerShell es una herramienta de administración de tareas y automatización en entornos Windows que puede ser utilizada de manera legítima o maliciosa.
PASO 5 Descarga de carga útil maliciosa (word_update[.]exe):
El script de PowerShell, ahora en ejecución, intenta descargar una carga útil maliciosa desde un servidor remoto. En este caso, la carga útil tiene el nombre "word_update[.]exe". Este archivo es la parte principal del malware que se utilizará para comprometer el sistema.
Paso 6 Ejecución de word_update[.]exe:
Una vez descargada, la carga útil maliciosa, "word_update[.]exe", se ejecuta. Este archivo realiza acciones específicas según la programación del atacante.
Paso 7 Ejecución de cmd[.]exe y creación de "pipes":
La carga útil "word_update[.]exe" ejecuta el programa cmd[.]exe, el intérprete de comandos de Windows. Además, establece una "pipe" para la comunicación entre procesos. Las "pipes" son utilizadas para el intercambio de datos entre procesos de manera eficiente.
Paso 8 Inicio de explorer[.]exe con RemcosRAT corriendo en memoria:
La "pipe" establecida permite la comunicación de datos maliciosos. Esto provoca el inicio de explorer[.]exe, el administrador de archivos de Windows, con el RemcosRAT malicioso residiendo en la memoria de explorer[.]exe.
Ilustración 2: Diagrama cadena de ataque
Fuente: Uptycs
Remcos RAT
Remcos, también conocido como Remcos RAT, representa una herramienta de administración remota desarrollada por Breaking Security que, a pesar de su presentación como software legítimo, a menudo es explotado con intenciones maliciosas por parte de los ciberactores. Este troyano de acceso remoto (RAT) proporciona a los atacantes la capacidad de tomar el control no autorizado de sistemas específicos. Sus funcionalidades abarcan desde el control de cuentas y la desactivación del Control de cuentas de usuario (UAC) hasta la introducción de vulnerabilidades de puerta trasera, el robo de datos, la grabación de teclas y la captura secreta de información.
Los indicadores de una infección por Remcos RAT incluyen patrones anómalos de tráfico de red, comportamiento imprevisto del sistema como ralentización o fallas, elevado uso de CPU/memoria, cambios inexplicables en configuraciones o archivos, y acceso no autorizado a información o cuentas confidenciales. Las vías comunes de infección abarcan archivos adjuntos de correo electrónico maliciosos, enlaces en campañas de phishing, sitios web comprometidos con kits de explotación, medios extraíbles infectados, explotación de vulnerabilidades de software, publicidad maliciosa y tácticas de ingeniería social.
Ilustración 3: Panel de administración Remcos RAT
Fuente: Fortinet
Apreciación
UAC-0050 se distingue por su historial de ataques cibernéticos enfocados particularmente en objetivos ucranianos. La combinación de la herramienta Remcos RAT con las tácticas innovadoras de UAC-0050 destaca la amenaza significativa que este grupo representa, especialmente para entidades gubernamentales que dependen de sistemas Windows. La continua evolución y sofisticación de sus métodos resaltan la importancia de la ciberseguridad proactiva y la vigilancia constante para contrarrestar sus operaciones a fin de mitigar posibles amenazas en entidades de defensa nacional y gubernamentales.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: