Aportan datos sobre los ataques de GreyEnergy a redes industriales de Europa del Este
El grupo de amenazas avanzadas y persistentes (APT) GreyEnergy lleva años dirigiéndose a las redes industriales de Ucrania y Europa del Este, y según el análisis de la actividad del grupo, los ataques comienzan con un documento malicioso enviado en un correo electrónico de phishing.
Nozomi Networks realizó un análisis del malware avanzado de ICS de GreyEnergy y descubrió que las herramientas y tácticas utilizadas por los actores de la amenaza permitían al grupo permanecer bajo el radar de las herramientas típicas de detección de anomalías durante mucho tiempo.
El malware de GreyEnergy ICS, que se encuentra en Ucrania y Polonia, infectó con éxito a sus destinatarios mediante un correo electrónico de phishing que incluía un documento en ucraniano de apariencia sospechosa y, de hecho, malicioso, según Alessandro Di Pinto, investigador de seguridad de Nozomi Networks. Mientras que hay una advertencia de seguridad en la parte superior de la página, dentro de la advertencia de seguridad hay una caja que pide al usuario que “active el contenido” – un claro intento de engañar al usuario.
El mensaje también anima a los espectadores a rellenar el falso formulario interactivo incluido en el correo electrónico. Mientras que el correo electrónico de phishing es común, “el código del malware es cualquier cosa menos común – está bien escrito, está bien ensamblado y está diseñado para derrotar la detección por parte de los productos de ciberseguridad”, escribió Di Pinto.
Con información de: Info Security Magazine.