Descubren una campaña dirigida contra organizaciones financieras y militares

Descubren una campaña dirigida contra organizaciones financieras y militares
Esta campaña se ha centrado en objetivos militares y financieros en Europa Oriental.

La velocidad a la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que dichas organizaciones deben estar alerta.

Utilizando el Threat Attribution Engine, investigadores de Kaspersky han podido vincular más de 300 muestras de una puerta trasera llamada Bisonal a la campaña del agente de amenaza avanzada persistente (APT) CactusPete, un grupo de ciberespionaje activo desde por lo menos 2012. Esta campaña se ha centrado en objetivos militares y financieros en Europa Oriental y pone de relieve el rápido desarrollo del grupo.

CactusPete, también conocido como Karma Panda o Tonto Tea, ha mejorado su puerta trasera para centrarse en representantes de los sectores militar y financiero en Europa Oriental con el fin de obtener acceso a información confidencial. Además, la velocidad a la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que dichas organizaciones deben estar alerta.

La ola más reciente de actividad fue detectada por investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera Bisonal del grupo. Al usar Kaspersky Threat Attribution Engine, una herramienta que analiza el código malicioso para buscar similitudes con el que utilizan los agentes de amenazas conocidos para determinar qué grupo es responsable de un ataque, vincularon esta muestra con más de 300 utilizadas libremente en el mundo.

Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020, aproximadamente 20 muestras por mes, lo que subraya el hecho de que CactusPete se está desarrollando rápidamente. En efecto, el grupo ha seguido perfeccionando sus capacidades, pues ha logrado acceso en 2020 a un código más complejo como es ShadowPad.

La funcionalidad de la carga maliciosa sugiere que el grupo anda en busca de información altamente confidencial. Una vez instalada en el dispositivo de la víctima, la puerta trasera Bisonal que emplean permite al grupo iniciar sigilosamente varios programas, terminar procesos, subir, bajar y eliminar archivos, así como recuperar una lista de las unidades de disco disponibles. Además, a medida que los operadores se adentran más en el sistema infectado, instalan detectores de pulsaciones de teclas para recopilar credenciales y descargar malware de escalada de privilegios para obtener gradualmente mayor control sobre el sistema.

No está claro cómo se descargó inicialmente la puerta trasera en esta última campaña. En el pasado, CactusPete se ha valido principalmente del spear-phishing con correos electrónicos que contienen archivos adjuntos maliciosos. Si ese archivo adjunto es abierto, el dispositivo queda infectado.

Te puede interesar  ESET alerta sobre estafas telefónicas que endeudan a los usuarios de Argentina

CactusPete es un grupo APT bastante interesante porque en realidad no es tan avanzado, como tampoco lo es la puerta trasera Bisonal. Su éxito no proviene de una tecnología avanzada o de tácticas complejas de distribución y ofuscación, sino de una aplicación exitosa de tácticas de ingeniería social. Pueden tener éxito en infectar objetivos de alto nivel porque sus víctimas hacen clic en los correos electrónicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qué el phishing sigue siendo un método tan eficaz para lanzar ataques cibernéticos, y por qué es tan importante que las empresas proporcionen a sus empleados capacitación sobre cómo detectar dichos correos electrónicos y mantenerse actualizados sobre la inteligencia contra amenazas más reciente, para que puedan detectar a un agente avanzado”, comentó Konstantin Zykov, investigador senior de seguridad en Kaspersky.

Para proteger sus instituciones contra CactusPete y otras APTs, los expertos de Kaspersky recomiendan:

  • Proporcione a su equipo del centro de operaciones de seguridad (SOC) acceso a la inteligencia de amenazas más reciente y manténgase actualizado con las herramientas, técnicas y tácticas nuevas y emergentes que utilizan los ciberdelincuentes y los agentes de amenaza.
  • Para la detección a nivel de endpoints, la investigación y la corrección oportuna de incidentes, implemente soluciones EDR,.
  • Brinde a su personal capacitación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Realice un ataque de phishing simulado para asegurarse de que el personal sepa identificar los correos electrónicos de phishing.
Print Friendly, PDF & Email

Ultimas Noticias

Deje su comentario

Su dirección de correo no será publicada. Los campos obligatorios están marcados con *

Cancelar respuesta

+ Leídas

+ Comentadas


Videos Destacados

Tipo de error: "Forbidden". Mensaje de error: "The request cannot be completed because you have exceeded your quota." Dominio: "youtube.quota". Razón: "quotaExceeded".

Did you added your own Google API key? Look at the help.

Comprueba en YouTube si el id UC8nOuNcjMh0JO1VR8vMCO4A corresponde a un channelid. Revise el FAQ del plugin or envíe los mensajes de error a support.


TCL suma un nuevo integrante a su familia de smartphones

El smartphone cuenta con doble cámara de 8 MP y Android 5.1 Lollipop, un acabado en color blanco o negro...

Cerrar