Facebook Linkedin Twitter Instagram Youtube Telegram

Una campaña de ciberespionaje chino utiliza herramientas inusuales para atacar entidades gubernamentales en Medio Oriente, África y Asia

 La Unit 42 de Palo Alto Networks, empresa líder del sector de la ciberseguridad en todo el mundo, presenta un nuevo informe que detecta y detalla la actividad de un grupo chino de amenazas persistentes avanzadas (APT por sus siglas en inglés). Este grupo lleva a cabo una campaña en curso que se ha denominado Operation Diplomatic Specter. Según la Unit 42, esta operación ha estado dirigida a entidades políticas en Medio Oriente, África y Asia desde finales de 2022. 

La unidad de investigación de Palo Alto Networks evaluó la orquestación de la Operation Diplomatic Specter por parte de un actor de amenazas con intereses alineados con el estado chino. El análisis de la actividad de este actor de amenazas revela operaciones de espionaje a largo plazo contra al menos siete entidades gubernamentales diferentes. El atacante llevó a cabo grandes esfuerzos de recopilación de inteligencia a gran escala, utilizando técnicas inusuales de exfiltración de correos electrónicos contra servidores comprometidos.

Gracias a la observación de los temas buscados por los atacantes, los investigadores de Unit 42 han podido conocer sus prioridades y su alineación con el gigante asiático. Las tácticas observadas como parte de esta campaña muestran el grado en que los actores de amenazas intentan reunir información sobre asuntos más allá de la región, extendiéndose incluso a Medio Oriente y África.

Se cree que este actor de amenazas sigue de cerca los acontecimientos geopolíticos contemporáneos e intenta filtrar información a diario. En los casos observados, el modus operandi de este consistía en infiltrarse en los servidores de correo de los objetivos y buscar información en ellos. A su vez, al intentar frustrar varios esfuerzos de mitigación, demostró adaptabilidad y trató de mantener una presencia persistente en los entornos comprometidos mediante el uso de dos nuevas cepas de malware no documentadas hasta entonces: SweetSpecter y TunnelSpecter. 

Esta campaña se enfoca principalmente en asuntos geopolíticos actuales. Por tanto, el esfuerzo de recopilación incluía intentos de obtener información sensible y clasificada sobre las siguientes entidades:

  • Misiones diplomáticas y económicas
  • Embajadas
  • Operaciones militares
  • Reuniones políticas
  • Ministerios de los países objetivo
  • Altos funcionarios

Según los expertos de la unidad de investigación, el continuo uso de los exploits de servidores Exchange (ProxyLogon CVE-2021-26855 y ProxyShell CVE-2021-34473) por parte del actor de amenazas para el acceso inicial, subraya aún más la importancia de que las empresas refuercen los activos sensibles expuestos a Internet. Especialmente de cara a reducir la superficie de ataque y maximizar los esfuerzos de protección de vulnerabilidades conocidas y prominentes.

Para poder defenderse ante este tipo de ataques, los clientes de Palo Alto Networks están mejor protegidos gracias a:

  • Seguridad de la red: proporcionada a través de un firewall de próxima generación (NGFW) configurado con servicios de seguridad habilitados por machine learning y entregados en la nube. Esto incluye la prevención de amenazas avanzadas, filtrado avanzado de URL, seguridad DNS; así como WildFire, un motor de protección contra malware capaz de identificar y bloquear muestras e infraestructuras maliciosas.
  • Automatización de seguridad: a través de una solución Cortex XSOAR o XSIAM capaz de proporcionar a los analistas de SOC una comprensión integral de la amenaza derivada de la recopilación de datos obtenidos de endpoints, red, nube y sistemas de identidad.
  • Protección anti-explotación:a través de Cortex XSIAM y capaz de brindar protección contra la explotación de diferentes vulnerabilidades, incluidas ProxyShell y ProxyLogon.
  • Seguridad en la nube:la integración de Prisma Cloud Compute y WildFire puede ayudar a detectar y prevenir la ejecución maliciosa del backdoor Specter dentro de la infraestructura en la nube basada en Windows, contenedores y sin servidor.

En definitiva, la compañía de ciberseguridad indica que las organizaciones que disponen de información sensible deben prestar especial atención a las vulnerabilidades comúnmente explotadas. También deben adherirse a las mejores prácticas en cuanto a higiene de TI, ya que este tipo de APT a menudo busca obtener acceso mediante métodos que han resultado efectivos anteriormente.

Picture of Pedro Pablo Merino

Pedro Pablo Merino

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.