Informe de Bitdefender sobre espionaje industrial a empresas de arquitectura

¿Podemos decir que StrongPity es un grupo APT de Corea del Sur? ¿O podría ser que los atacantes estén utilizando herramientas de evasión para engañar a los investigadores de seguridad?

Es difícil especular sobre la ubicación de un grupo APT. Por lo general, los miembros suelen estar dispersos en varios países e incluso continentes. Si bien algunos grupos APT pueden estar patrocinados por el estado, lo que facilita mucho la atribución, con los grupos APT mercenarios podrían estar ubicados en cualquier parte del mundo y operar a nivel mundial.

¿Cómo se propagó inicialmente Autodesk malicioso? ¿Qué variante de malware implementaron los atacantes?

En ese momento, parecen haber aprovechado una vulnerabilidad desconocida en Autodesk que les permitió instalar un componente manipulado. Esto les permite interactuar con la máquina de las víctimas y luego implementar herramientas maliciosas adicionales. Fue solo en agosto que Autodesk presentó una advertencia y una solución para abordar la vulnerabilidad previamente desconocida. En esencia, los atacantes utilizaron una pieza de malware de día cero para comprometer a la víctima.

¿El malware es capaz de atacar cualquier sistema operativo?

El malware es capaz de comprometer aplicaciones de Autodesk no empaquetadas que son vulnerables al ataque de manipulación de complementos contaminados.

Dado que StrongPity es una empresa de piratería informática, ¿son los atacantes capaces de personalizar sus técnicas de infección en función de la demanda de sus clientes?

Es probable que cualquier grupo mercenario APT tenga las habilidades técnicas y el conocimiento necesarios para lanzar ataques personalizados contra objetivos contratados. Si bien los vectores de ataque a menudo pueden ser los mismos, como los archivos adjuntos de correo electrónico contaminados o la explotación de vulnerabilidades no reparadas, es probable que las cargas útiles maliciosas se adapten y personalicen a sus víctimas.

¿Es probable que veamos un aumento en la mercantilización de los grupos de APT?

Esta está comenzando a ser una nueva tendencia que probablemente se verá más en el futuro. A medida que los grupos de delincuentes cibernéticos se vuelven más sofisticados y actúan más como mercenarios, es probable que sigan poniendo sus servicios a disposición de los mejores postores. Este nuevo modelo de negocio APT-as-a-service parece ser el siguiente paso evolutivo en ataques sofisticados.

¿Qué tan diferente es StrongPity de otros grupos comerciales de APT?

Si bien StrongPity es un agarre relativamente conocido, no hemos encontrado evidencia forense en nuestra investigación que vincule al grupo APT que hemos encontrado con el grupo StrongPity APT. Por lo general, la forma en que puede notar la diferencia entre varios grupos de APT es por las pistas que dejan atrás, como herramientas preferidas, similitudes de malware, binarios marcas de tiempo, o incluso varias cadenas dentro de los archivos binarios que apuntan a un grupo específico de habla del idioma. Sin embargo, nuestra investigación no reveló tales artefactos que podamos utilizar para vincular este grupo APT a uno que se había conocido previamente.