Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Nuevos indicadores de compromiso asociados a Cobalt Group

  • Publicado: 06/11/2019
  • Importancia: Media

Recursos afectados

La última campaña identificada y atribuida a Cobalt Group, actúa utilizando diferentes cuentas de correo electrónico, adjuntando por lo general dos tipos de archivos [Word o Excel], que a su vez tienen macros configuradas para realizar conexión a un dominio específico, a través de una dirección IP que opera como servidor de C&C [Comando y Control]. Una vez establecida la conexión entre el servidor C&C y el dispositivo infectado, los ciberdelincuentes realizan la instalación de un ejecutable de nombre putty.exe para generar cierta confianza en los usuarios.

En las investigaciones realizadas por el CSIRT Financiero, se detectó que el archivo ejecutable corresponde a una muestra del troyano Quasar RAT, a continuación, verá la representación de esta campaña:

Qasart.jpg


Este es un breve resumen por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected]

Etiquetas