-06.png "CSIRT - Financiero - ASOBANCARIA"){kind=logo}
Nuevos indicadores de compromiso asociados a Cobalt Group
- Publicado: 06/11/2019
- Importancia: Media
- Recursos afectados
La última campaña identificada y atribuida a Cobalt Group, actúa utilizando diferentes cuentas de correo electrónico, adjuntando por lo general dos tipos de archivos [Word o Excel], que a su vez tienen macros configuradas para realizar conexión a un dominio específico, a través de una dirección IP que opera como servidor de C&C [Comando y Control]. Una vez establecida la conexión entre el servidor C&C y el dispositivo infectado, los ciberdelincuentes realizan la instalación de un ejecutable de nombre putty.exe para generar cierta confianza en los usuarios.
En las investigaciones realizadas por el CSIRT Financiero, se detectó que el archivo ejecutable corresponde a una muestra del troyano Quasar RAT, a continuación, verá la representación de esta campaña:
Este es un breve resumen por el equipo del CSIRT, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, sea miembro del CSIRT Financiero y contáctenos a través del correo [email protected]- Etiquetas