Los grupos APT se actualizan y diversifican su arsenal durante el confinamiento

El año 2020 es el año que marca un antes y un después y en el que ya nada es como antes. Sin embargo, la vida continúa también para los ciberdelincuentes y para los grupos APT. La pandemia de la COVID-19 ha sido utilizada como cebo para muchas campañas, ya sean grandes o pequeñas.

Los investigadores de Kaspersky han observado el constante desarrollo de los arsenales de APT en diferentes frentes: desde la búsqueda de nuevas plataformas y la explotación activa de la vulnerabilidad hasta el cambio a nuevas herramientas totalmente desconocidas. Estas y otras tendencias de APT de todo el mundo están recogidas en el último informe trimestral de inteligencia sobre amenazas elaborado por Kaspersky.

El resumen de las tendencias de las APT durante el último trimestre se basa en la investigación privada de inteligencia de amenazas realizada por Kaspersky, así como en otras fuentes que cubren los principales acontecimientos que el sector empresarial debería conocer. En el segundo trimestre del año 2020, los investigadores de Kaspersky han observado numerosos desarrollos en los TTP de los grupos de APT. Los cambios más significativos han sido llevados a cabo por los siguientes grupos:

  • Lazarus Group, que ha sido un importante actor de amenazas durante varios años, está invirtiendo aún más en ataques para obtener beneficios financieros. Además de objetivos como el ciberespionaje y el cibersabotaje, este actor se ha dirigido a bancos y otras entidades financieras en todo el mundo. Este trimestre, los investigadores de Kaspersky también han podido identificar que Lazarus comenzó a operar con ransomware, una actividad atípica para un grupo APT, utilizando un marco multiplataforma llamado MATA para distribuir el malware. Anteriormente, Lazarus ha sido asociado con el conocido ataque WannaCry.
  • CactusPete, un actor de amenazas ahora usa ShadowPad, una plataforma de ataque compleja y modular que cuenta con plugins y módulos para diversas funcionalidades.  ShadowPad ha sido desplegado con anterioridad en varios ciberataques importantes, con un subconjunto diferente de plugins utilizados en diferentes casos.
  • La APT MuddyWater fue descubierta en 2017 y ha estado activa en Oriente Medio desde entonces. En 2019, los investigadores de Kaspersky informaron de la actividad contra empresas de telecomunicaciones y organizaciones gubernamentales en Oriente Medio. Recientemente Kaspersky ha descubierto que MuddyWater estaba utilizando un nuevo framework malicioso implementado en C++ en una nueva oleada de ataques, durante la cual el actor aprovechó una utilidad de código abierto llamada Secure Socket Funneling para movimiento lateral. La APT HoneyMyte llevó a cabo un ataque ”watering hole” en el sitio web de uno de los gobiernos del sudeste asiático. Este ataque, realizado en marzo, pretendía aprovechar las técnicas de ingeniería social y de listas blancas para infectar a sus objetivos. La carga final fue un simple archivo ZIP que contenía un archivo que indicaba «léeme«, incitando a la víctima a ejecutar un implante de Cobalt Strike. El mecanismo utilizado para ejecutar Cobalt Strike fue DLL side loading, que descifró y ejecutó Cobalt Strike.
  • OceanLotus, actor de amenazas que está detrás de la campaña móvil PhantomLance, ha estado utilizando nuevas variantes de su cargador multifase desde la segunda mitad de 2019. Las nuevas variantes utilizan información específica del objetivo (nombre de usuario, nombre de host, etc.) al que se dirigen, obteniéndola con anterioridad para asegurarse de que su implante final se aplica a la víctima correcta. El grupo continúa desplegando su implante de puerta trasera, así como Cobalt Strike Beacon, configurándolos con una infraestructura actualizada. 

«El panorama de amenazas no siempre está lleno de sucesos innovadores, pero, definitivamente, la actividad de los ciberdelincuentes no se ha detenido en los últimos meses. Observamos que los actores siguen invirtiendo en la mejora de sus herramientas, diversificando los vectores de ataque e incluso cambiando a nuevos tipos de objetivos. Por ejemplo, el uso de implantes móviles ya no es una novedad. Otra tendencia que podemos ver es el movimiento hacia la ganancia financiera por parte de algunos grupos de APT como BlueNoroff y Lazarus. Sin embargo, la geopolítica sigue siendo un motivo importante que mueve a muchos actores de amenazas«, afirma Vicente Díaz, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky. «Todos estos acontecimientos no hacen sino poner de relieve la importancia de invertir en inteligencia de amenazas. Los ciberdelincuentes no se limitan en aquello que ya han logrado, sino que continuamente desarrollan nuevos TTP, y lo mismo deberían hacer aquellos que quieren protegerse a sí mismos y a sus empresas de los ataques».

El informe de tendencias de APT del segundo trimestre resume las conclusiones de los estudios de inteligencia de amenazas de Kaspersky, que incluyen también datos de los Indicadores de Compromiso (IoC) y las reglas de YARA para ayudar en la investigación forense y la detección de malware. Para obtener más información, contacta con: [email protected]  

Con el objetivo de evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan lo siguiente:

  • Proporcione a su equipo SOC acceso a la última información sobre amenazas. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para el departamento de TI de la compañía, que proporciona datos de ciberataques e información recopilada por Kaspersky durante más de 20 años. El acceso libre a sus características que permiten a los usuarios comprobar archivos, URL y direcciones IP está disponible aquí. Para la detección a nivel de endpoints, la investigación y la reparación oportuna de incidentes, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
  • Además de adoptar una protección esencial de endpoints, implemente una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de  red en una fase temprana, como Kaspersky Anti Targeted Attack Platform.

Dado que muchos ataques dirigidos comienzan con el phishing y otras técnicas de ingeniería social, implante programas de formación de concienciación sobre la seguridad y enseñe habilidades prácticas. Por ejemplo, a través de Kaspersky Automated Security Awareness Platform.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio