Facebook Linkedin Twitter Instagram Youtube Telegram

La APT Cloud Atlas actualiza su arsenal con malware polimórfico

Cloud Atlas, una amenaza persistente avanzada (APT), también conocida como Inception, ha actualizado su arsenal de ataque con nuevas herramientas que permiten evadir los sistemas de detección de los Indicadores de Compromiso estándares. Esta cadena de infección actualizada ya ha sido detectada en diversas organizaciones del este de Europa, Asia Central y Rusia.

Cloud Atlas es un actor de ciberamenazas con una amplia trayectoria en operaciones de ciberespionaje contra el sector industrial, agencias estatales y otras entidades. Fue identificado por primera vez en 2014 y desde entonces no ha dejado de estar activo. Recientemente, el sector internacional de la economía y aeroespacial, así como a organizaciones religiosas y de la Administración Pública de diversos países han sido el blanco de Cloud Atlas. Entre estos países, se encuentran Portugal, Rumanía, Turquía, Ucrania, Rusia, Turkmenistán, Afganistán y Kirguistán. Tras su infiltración exitosa, Cloud Atlas realiza las siguientes acciones:

  • recopilar información sobre el sistema al que haya logrado acceder
  • registrar las claves de acceso
  • ex filtrar archivos .txt, .pdf y .xls a un servidor de comando y control

Si bien Cloud Atlas no ha cambiado sus tácticas de forma radical, nuevas investigaciones efectuadas desde 2018 revelan que ha empezado a implementar una forma novedosa para infectar a sus víctimas y que realiza movimientos laterales a través de la red.

Anteriormente, Cloud Atlas enviaba primero un email de spear phishing con un archivo adjunto de contenido malicioso.  En el caso de una explotación exitosa, PowerShower -el malware incorporado en el adjunto, utilizado para el reconocimiento inicial y posterior descarga de módulos maliciosos adicionales- se ejecutaba de manera que los ciberatacantes pudiesen proceder con una operación.

La cadena de infección recientemente actualizada retrasa la ejecución de PowerShower hasta una etapa posterior: en cambio, tras la infección inicial, una aplicación HTML maliciosa se descarga y se ejecuta en la máquina objetivo. A continuación, la aplicación recopila información inicial sobre el ordenador atacado, y después descarga y ejecuta VBShower – otro módulo malicioso. VBShower procede a eliminar las pruebas de la presencia de malware en el sistema y realiza consultas a través de servidores comando y control para decidir acciones futuras. En función del comando recibido, el malware se descargará y ejecutará PowerShower u otra conocida puerta trasera de segunda etapa de Cloud Atlas.

Gráfico 2. Cadena de infección Cloud Atlas actualizada

Aunque esta nueva cadena de infección es generalmente mucho más complicada que el modelo anterior, el principal diferenciador es que la aplicación HTML maliciosa y el módulo VBShower son polimórficos. De esta forma el código en ambos módulos será nuevo y único en cada caso. Según los expertos de Kaspersky, la versión actualizada se utiliza para hacer el malware invisible a las soluciones de seguridad que confían en los Indicadores de Compromiso más conocidos.

Felix Aime, investigador de seguridad del Equipo de Análisis e Investigación Global de Kaspersky, ha comentado, “Se ha establecido como una buena práctica en la comunidad de ciberseguridad compartir los Indicadores de Compromiso (IoC) de las operaciones maliciosas que identificamos en nuestras investigaciones. Esta práctica nos permite responder con rapidez a las operaciones internacionales de ciberespionaje actualmente en marcha, y evitar que estas generen daños mayores. Sin embargo, tal y como preveíamos ya en 2016, IoC se ha vuelto obsoleto como herramienta fiable para detectar un ataque dirigido en la red. El primero fue ProjectSauron, que creaba una serie IoC única para cada víctima y continuó con la tendencia de utilizar herramientas de fuente abierta en operaciones de ciberespionaje en vez de herramientas a medida. Esta tendencia ahora continua con este ejemplo reciente de malware polimórfico. Esto no significa que sea más difícil atrapar a los actores, sino que las habilidades de ciberseguridad y el kit de herramientas de los defensores tienen que evolucionar en paralelo al kit de herramientas y las habilidades de los actores maliciosos que persiguen”.

Picture of Vicente Ramírez

Vicente Ramírez

Graduado en Administración y Dirección de empresas, especializado en Marketing, Comunicación, Ciberderecho y Gestión de Riesgos para Ciberseguros. Director de Marketing en CyberSecurity News, Organizador de CISO Day 2019 y Administrador del grupo de LinkedIn "Eventos de Ciberseguridad España"

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.