FireEye detecta acciones de ciberespionaje alineadas con intereses vietnamitas

FireEye detecta acciones de ciberespionaje alineadas con intereses vietnamitas
Gobiernos y periodistas también eran blanco de este grupo.

Desde 2014, las nuevas maneras en que APT32 ha estado implementando son observadas para comprometer sistemas de empresas multinacionales que tienen un interés en trabajar en Vietnam.

FireEye informó que con operaciones identificadas desde 2014, el grupo APT32 hace intrusiones contra compañías extranjeras de varios sectores, gobiernos e incluso periodistas, a través de un solo conjunto de malware.

El espionaje económico es una amenaza real a empresas que buscan expandirse a otros países y sirve como motivación para grupos de hackers como el APT32, que es responsable de operaciones patrocinadas por el gobierno local contra el sector privado en Vietnam.

Descubierto por los investigadores de FireEye, las acciones fueron con la intención de servir como una base para aplicación de la ley, robo de propiedad intelectual y medidas anticorrupción que pudieran poner fin a las ventajas competitivas de las organizaciones objetivo.

Gobiernos y periodistas también eran blanco de este grupo que continúa amenazando el activismo político y la libertad de expresión en el sureste de Asia y el sector público alrededor del mundo.

Desde su comienzo en 2014, el APT32 ha estado realizando operaciones segmentadas que están en línea con los intereses del gobierno vietnamita, a través de un conjunto integrado de malware, de acuerdo al estimado de FireEye, que además apunta al prestigio de riesgo para compañías que tienen o están preparadas para hacer negocios e inversiones en el país.

Perfil de los ataques

Las intrusiones fueron identificadas en empresas extranjeras con intereses en los sectores de manufactura, productos de consumo y hotelería en Vietnam, así como organizaciones en sectores de la infraestructura de seguridad de red, la infraestructura de tecnología periférica y consultoras de relaciones con inversionistas extranjeros.

La primera amenaza es de 2014 y fue contra una empresa europea antes de iniciar la construcción de una fábrica en el país. En los siguientes años los objetivos fueron industrias de tecnología, medios de comunicación y bancos. Los más recientes, entre 2016 y 2017, se enfocaron en el sector hotelero, productos de consumo y consultoría.

Cómo ocurre el ataque

Los responsables por el APT32 han usado varias técnicas innovadoras, con rastreo, monitoreo de distribución y establecimiento de mecanismos persistentes de phishing.

Despliegue de malware distintivo, con capacidad para desplegar recursos y personalizar una serie de backdoors, son desplegados. Creando documentos de atracción en múltiples idiomas, hechos para víctimas específicas, APT32 entrega archivos adjuntos maliciosos vía emails de phishing. Cuando son abiertos, los archivos de atracción despliegan mensajes de error falsos intentando confundir a los usuarios.

Después de acceder, el APT32 borra las entradas de eventos regulares en la bitácora y ofusca las herramientas en el framework, también crea tareas programadas como mecanismos de persistencia para las backdoors del sistema infectado.

Ultimas Noticias

Dejar su comentario sobre esta nota

Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)