Ataques a la cadena de suministro y exploits de día cero, principal actividad de los actores de APT

En los últimos tres meses, la principal actividad de los agentes de Amenazas Persistentes Avanzadas se ha centrado en los ataques a la cadena de suministro y exploits de día cero

La introducción de una puerta trasera que comprometió el software para monitorización de infraestructuras, Orion IT de SolarWinds, afectó a las redes de más de 18.000 clientes, mientras que una vulnerabilidad en Microsoft Exchange Server llevó a nuevas campañas en Europa, Rusia y Estados Unidos. Estas son algunas de las conclusiones más importantes del informe sobre APT correspondiente al primer trimestre de 2021 de Kaspersky.

Los actores de amenazas APT cambian continuamente sus tácticas, perfeccionan sus herramientas y lanzan nuevas oleadas de actividad. Por eso, para mantener a los usuarios y a las organizaciones informados sobre las amenazas a las que se enfrentan, el equipo de Investigación y Análisis Global de Kaspersky (GReAT) proporciona informes trimestrales sobre los desarrollos más importantes en el panorama de las amenazas persistentes avanzadas. Este último trimestre, tomaron nota de dos grandes oleadas de actividad. 

La primera fue impulsada al verse comprometido el código de SolarWinds, proveedor de servicios gestionados de TI, y su plataforma de software Orion IT para la supervisión de infraestructuras de TI. Esto llevó a la instalación de una puerta trasera personalizada conocida como Sunburst en las redes de más de 18.000 clientes. Muchos de ellos eran grandes empresas y organismos gubernamentales de Norteamérica, Europa, Oriente Medio y Asia.

Tras un examen más detallado, los investigadores de Kaspersky encontraron similitudes con otra puerta trasera previamente identificada como Kazuar, descubierta por primera vez en 2017 y vinculada presuntamente al grupo APT Turla. Esto sugiere que los atacantes detrás de Kazuar y Sunburst podrían estar relacionados de alguna forma.

La segunda oleada de actividad se originó por exploits de día cero, ya parcheados, en Microsoft Exchange Server. A principios de marzo, un nuevo actor de APT conocido como HAFNIUM fue descubierto aprovechando estos exploits para lanzar una serie de «ataques limitados y dirigidos». Durante la primera semana de marzo, aproximadamente 1.400 servidores únicos fueron atacados, la mayoría en Europa y Estados Unidos. Algunos de ellos, incluso varias veces, lo que indica que fueron varios los grupos que estaban utilizando las vulnerabilidades. De hecho, a mediados de marzo, descubrimos otra campaña que usaba estos mismos exploits dirigidos a Rusia y que mostraba algunos vínculos con HAFNIUM, así como con grupos de actividad previamente conocidos que Kaspersky ha estado investigando.

Asimismo, se informó de un nuevo grupo de actividad del grupo APT Lazarus, que también utilizaba exploits de día cero. Esta vez, el grupo utilizó la ingeniería social para convencer a los investigadores de seguridad de que descargaran un archivo de proyecto de Visual Studio comprometido o para atraer a las víctimas a su blog, tras lo cual se instalaba un exploit de Chrome. Los señuelos solían girar en torno a los ataques de día cero y se orientaban a robar investigaciones sobre vulnerabilidades. La primera oleada se produjo en enero y la segunda en marzo, a la que se sumó una nueva de perfiles falsos en redes sociales y una empresa falsa para engañar eficazmente a las víctimas previstas.

Tras un examen más detallado, los investigadores de Kaspersky observaron que el malware utilizado en la campaña coincidía con ThreatNeedle, un backdoor desarrollado por Lazarus y visto recientemente dirigido a la industria de la defensa a mediados de 2020.

Otra interesante campaña de exploits de día cero -denominada TurtlePower- se ha visto dirigida a entidades gubernamentales y de telecomunicaciones en Pakistán y China y se cree que está vinculada con el grupo BitterAPT. El origen de la vulnerabilidad, ahora parcheada, parece estar relacionado con «Moses», un broker que ha desarrollado al menos cinco exploits en los últimos dos años, algunos de los cuales han sido utilizados tanto por BitterAPT como por DarkHotel.

«Quizás la mayor conclusión del último trimestre es lo destructivos que pueden ser los ataques a la cadena de suministro. Es probable que pasen varios meses antes de que se conozca el alcance total del ataque de SolarWinds. La buena noticia es que toda la comunidad de seguridad está hablando ahora de este tipo de ataques y de lo que podemos hacer al respecto. Lo ocurrido en estos tres primeros meses del año también nos ha recordado la importancia de parchear los dispositivos lo antes posible. Los exploits de día cero seguirán siendo una forma muy eficaz y habitual para que los grupos APT comprometan a sus víctimas, incluso de forma sorprendentemente creativa, como ha demostrado la reciente campaña de Lazarus», comenta Ariel Jungheit, investigador de seguridad senior de GReAT.

El informe de tendencias de APT del primer trimestre resume los resultados de los informes de inteligencia de amenazas exclusivos para suscriptores de Kaspersky, que también incluyen datos de Indicadores de Compromiso (IOC) y reglas YARA para ayudar en el análisis forense y la búsqueda de malware. 

Para proteger a su empresa de la actividad de las amenazas persistentes avanzadas, los expertos de Kaspersky recomiendan:

  • Instalar los parches para cada nueva vulnerabilidad lo antes posible. Una vez descargado, los actores de amenazas ya no pueden aprovecharse de la vulnerabilidad.
  • Realizar una auditoría de seguridad periódica de la infraestructura de TI de la organización para revelar brechas y vulnerabilidades en los sistemas.
  • Las funcionalidades de gestión de vulnerabilidades y parches de una solución de protección de endpoints pueden simplificar significativamente la tarea de los responsables de seguridad informática.
  • Instale soluciones anti APT y EDR, que permitan descubrir y detectar amenazas, investigar y remediar oportunamente los incidentes. Proporcione a su equipo SOC acceso a la última información sobre amenazas y actualícelo regularmente con formación profesional. 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio