Descubren un nuevo grupo de amenazas APT llamado ChamelGang cuyo objetivo es atacar a las industrias de combustible, energía y aviación afincadas en Rusia.

Los grupos de ciberdelincuencia son cada vez más numerosos, y peligrosos. Sus actividades están logrando poner en jaque a empresas y países, causando el caos y generando dudas sobre la calidad de la ciberseguridad. En la actualidad existen multitud de grupos dedicados a la ciberdelincuencia, y a cada día que pasa la lista crece con nuevas incorporaciones. La última de la que tenemos constancia fue descubierta el pasado mes de marzo. Este nuevo grupo se hace llamar «ChamelGang» y se dedica a las Amenazas APT (Amenaza Persistente Avanzada). En relación al foco de sus actividades, tienen como objetivo las industrias de combustible, energía y aviación situadas en Rusia. Para entrar en sus sistemas, el grupo explota vulnerabilidades conocidas de ProxyShell en Microsoft Exchange Server. De sobra son conocidos  los problemas de Microsoft con sus productos a nivel de vulnerabilidades. Descubren un nuevo grupo de amenazas APT llamado ChamelGang.

La encargada de descubrir al Grupo ChamelGang APT ha sido Positive Technologies, empresa experta en ciberseguridad global. Según han revelado este grupo ya ha actuado en diez países con el método usado anteriormente, es decir, a través de ProxyShell, así como otros malware. Entre esos malware destacan algunos conocidos: ProxyT, BeaconLoader y DoorMe. No es fácil dar con ellos, pues según comentan desde Positive Technologies el grupo oculta su infraestructura usando servicios legales de empresas muy conocidas. Entre esas empresas se encuentran la propia Microsoft, McAfee o IBM. Su modus operandi es la obtención de dominios que se parezcan a sus homólogos reales; mcafee-upgrade [.] Com, microsoft-support [.] Net, centralgoogle [.] Com y cdn-chrome [.] Com. Además, ChamelGang APT usa certificados SSL falsos para github [.] Com, ibm [.] Com, jquery [.] Com y update [.] Microsoft-support [.] Net. Como se puede observar, es bastante activo.

Dos campañas de ciberataque ya detectadas

El grupo ha llevado a cabo, según investigaciones de Positive Technologies, dos ciberataques a lo largo del año vigente. El primero se detectó en marzo, e involucró a una empresa de energía rusa, quien informó de un ciberataque con Cobalt Strike Beacon en RAM. Este grupo obtuvo acceso a la red de la empresa por medio de un ataque a la cadena de suministros; tras ello explotaron un versión vulnerable del servidor de aplicaciones JBoss. Con la vulnerabilidad explotada, el grupo desplegó las herramientas Tiny Shell, Cobalt Strike Beacon de puerta trasera de UNIX y Wget. El segundo ataque estuvo dirigido a una empresa de producción de aviones rusa. Consiguió entrar en los sistemas aprovechando las vulnerabilidades de ProxyShell y acto seguido implementó DoorMe v2 en dos servidores de correo de Exchange. La necesidad de extremar las precauciones es cada vez mayor.