Hive0145 ataca a España, Alemania y Ucrania
IBM X-Force pone sobre aviso a Europa por una nueva campaña del grupo especializado en operaciones de acceso inicial a las redes de sus víctimas
Hive0145 es un grupo delictivo con motivación económica que comercia con el acceso inicial a entidades de interés. Es decir, la banda consigue infiltrarse en organizaciones y luego vende o subasta dicho acceso entre otros grupos de ciberdelincuentes que puedan estar interesados.
La banda, identificada por investigadores de IBM, parece ser la única operadora de la variante de malware denominada Strela Stealer que fue catalogada por primera vez en noviembre de 2022.
Desde 2023 se han observado distintos intentos por parte de Hive0145 de mejorar la distribución de esta variante de malware mediante campañas de phishing más sofisticadas.
En la última analizada destacan dos factores fundamentales, el uso de cuentas legítimas secuestradas por la banda para enviar los correos maliciosos y el contenido de los mismos que es copiado de emails legítimos a los que la banda ha tenido acceso.
Para dar la máxima impresión de veracidad incluso se mantiene el nombre de los adjuntos de los ficheros, habitualmente facturas, puesto que este es el tema habitual de los mensajes que utiliza el grupo para engañar a sus víctimas.
El volumen de emails maliciosos enviados durante el mes de octubre hace sospechar que los ciberdelincuentes han implementado automatismos en los procesos de recopilado, preparación y envío de los correos electrónicos fraudulentos.
Para evadir su detección las muestras de Strela Stealer hacen uso de archivos políglotas, ficheros ZIP protegidos por contraseña, scripts intermedios ofuscados y binarios firmados con certificados válidos sustraídos.
Dependiendo de la variante para su instalación en el sistema se descargan componentes adicionales de un servidor WebDAV, especializados en la distribución de ficheros de forma remota mediante una extensión del protocolo HTTP, o bien se utiliza un loader que contiene la carga útil cifrada.
Las capacidades principales de Strela Stealer son:
- Robo de credenciales de email en clientes Thunderbird y Outlook.
- Recopilación de información del sistema.
- Obtención de un listado de aplicaciones instaladas.
- Comprobación de idioma mediante el teclado del sistema.
- Exfiltración de datos.
Mediante la comprobación del lenguaje utilizado por las víctimas el malware se asegura de que estas estén dentro de su rango de objetivos, se comprueban idiomas como el español, catalán, euskera, polaco, italiano y en las últimas muestras se ha añadido también el ucraniano.
Entre los países que reciben más correos fraudulentos para la distribución de Strela Stealer se encuentran España, Alemania y Ucrania. Aunque la banda se limita principalmente a estas localizaciones sus objetivos son de cualquier sector, no observándose una preferencia por alguno de ellos.
Indicadores de compromiso
- Strela Loader
03853c56bcfdf87d71ba4e17c4f6b55f989edb29fc1db2c82de3d50be99d7311
e50bea80513116a1988822fe02538d3af4d91505d4098afca4ea741bcf4cd427
2cac42735170cd3f67111807a7e48f8fca104eb97c379129872249160d90e22d
2f7ac330e100b577748bb34bd8f7f655f6d138b90683594dbf06ccc41bb3751a- Strela Stealer Payload
9a032497b82c3db8146cb624b369f63bef76b302a5e25349156bdcb53af3fb84
e4a7ad38aaea4bd27c32c57b5a52eac1020495cf8698a2b595b169a3c5c9313a- Variante .NET
5906c8e683b8eb9d2bc104f3ca7abaa1f76c64ac694c46a0de5ec67456364f5d- Direcciones IP de servidores de comando y control
94.159.113[.]48
94.159.113[.]86
193.109.85[.]231Fuentes y más información:
- https://securityintelligence.com/x-force/strela-stealer-todays-invoice-tomorrows-phish/
- https://therecord.media/cybercriminals-taget-spain-germany-ukraine-strela-stealer-malware
- https://medium.com/@DCSO_CyTec/shortandmalicious-strelastealer-aims-for-mail-credentials-a4c3e78c8abc
- https://malpedia.caad.fkie.fraunhofer.de/details/win.strelastealer
- https://medium.com/swlh/polyglot-files-a-hackers-best-friend-850bf812dd8a
