Nuevo ataque global de hackers chinos

ataque global hackers chinos

Nuevo ataque global de hackers chinos

Nuevo ataque global de hackers chinos

Se ha registrado nueva actividad del grupo, dirigida a entidades gubernamentales, privadas y proveedores de servicios administrados

México, 2019.- S21sec, compañía española de seguridad digital, con información del FBI, lanzó una alerta para informar de una nueva ola de ataques de hackers que trabajan bajo el patrocinio del gobierno chino, bajo la denominación APT10, con riesgode intrusiones en redes gubernamentales, proveedores de servicios administrados (MSP, por sus siglas en inglés) y redes empresariales a nivel mundial.

El FBI obtuvo información referente a un grupo de ciber actores chinos que roban información de alto valor a víctimas privadas y gubernamentales en Estados Unidos y otros países. El grupo también ha sido reportado en otras alertas como APT10, Cloud Hopper, menuPass, Stone Panda, Red Apollo, CVNX y POTASSIUM.

Sus objetivos principales son MSP (proveedores de servicios administrados); sus clientes privados y gubernamentales; así como proveedores y entidades gubernamentales de servicios de defensa. APT10 utiliza varias técnicas para comprometer sus objetivos, tales como como malware y spear phising. Después del ataque inicial, el grupo busca credenciales de administrador del MSP para pivotear entre la red en la nube del propio proveedor, y los sistemas de sus clientes.
La referida alerta considera que, además de las víctimas que puedan generarse por el acceso a través de los MSP, se podrían producir ataques en empresas de agricultura, automotriz, contratistas de defensa, electrónica, energía, minería, financiero, gobierno, defensa, transporte de mercancía (logística), telecomunicaciones, manufactura y salud, entre otros.
 
Los tipos de malware que emplea, según la referida alerta son:

  • RedLeaves, que es un RAT, para el cual se emplea como vector de ataque el spear-phishing.
  • Uppercut/ Anel, puerta trasera, empleada en campañas de spear-phishing igualmente. Se despliega a través de señuelos para lo que emplea documentos de Word que contienen macros de Visual Basic (VBA).
  • ChChes, conocido como Chinese Chess, RAT que comunica con los servidores C2 empleando encabezados de cookie HTTP.
  • QuasarRat. En relación con este último, investigadores de Palo Alto, llegaron a determinar que un actor denominado GorgonGroup, en febrero de 2018 comenzó una campaña sobre objetivos gubernamentales en organizaciones del Reino Unido, España y Rusia, así como de los Estados Unidos.
Como en otros casos de spear phishing1, las recomendaciones son las siguientes:
  • Parcheo y supervisión de los sistemas ante la posible existencia de vulnerabilidades no parqueadas
  • campañas de formación y concienciación periódicas que permitan mantener informados a los empleados de la organización sobre los nuevos casos de Spear Phishing, las actualizaciones de seguridad, vulnerabilidades, malware, etc.
  • Actualización de sistemas y políticas de ciberseguridad.

 
1 En S21sec definimos spear phishing como una variante del phishing que consiste en el envío de correos electrónicos, supuestamente legítimos, específicos y personalizados para un grupo de personas determinado. El mensaje generalmente contiene un enlace que dirige a una página para la descarga de un programa malicioso o un enlace que dirige a un formulario con el objetivo de obtener información confidencial. Estos ataques buscan recabar información muy precisa de entidades específicas.


Publicación más antigua Publicación más reciente


Dejar un comentario

Por favor tenga en cuenta que los comentarios deben ser aprobados antes de ser publicados