Cada cierto tiempo se descubre un nuevo grupo de APT (o amenazas persistentes avanzadas). Investigadores de seguridad han dado a conocer la existencia de TA423, un actor de amenazas de ciberespionaje chino que se centra en objetivos dedicados al sector energético y manufacturero.
Según se hace eco Cyware, este colectivo apuntaría sus ataques a entidades que realizan exploración energética en el Mar de China Meridional, Australia, Malasia y Europa.
Sus víctimas son contratistas de defensa, fabricantes, universidades, agencias gubernamentales, firmas legales involucradas en disputas diplomáticas y compañías extranjeras involucradas en operaciones en el Mar Meridional de China.
No se puede decir que TA423 sea precisamente un novato. De hecho, llevaría activo desde 2013. En estos nueve años sus técnicas han evolucionado.
El principal vector de ataque de este actor de amenazas persistentes avanzadas es el phishing. Generalmente, el grupo envía un correo electrónico a las víctimas que las redirige a un sitio web malicioso que simula ser una página de noticias australiana.
Aquellos que pican reciben ScanBox. La carga principal puede recopilar datos como el navegador que se usa. Además, las víctimas reciben complementos posteriores como un keylogger (registrador de teclas), identificación del complemento del navegador, huellas dactilares del navegador, un plugin de conexión entre pares y hasta una verificación de seguridad para Kaspersky Internet Security.
Se cree que el marco de explotación ScanBox también sería utilizado por otros grupos de amenazas chinos.
Una campaña en tres fases
La campaña de phishing mencionada ha estado activa durante más de 1 año y tiene un alcance global, según han determinado los investigadores.
Esta se habría vertebrado en tres fases. La fase 3 se dio entre abril y mediados de junio contra Australia y Malasia. Los objetivos australianos incluían los sectores del gobierno federal, la defensa y la salud pública, mientras los de Malasia comprendían empresas de perforación en alta mar y de exploración de energía en aguas profundas y empresas globales de marketing y finanzas.
La fase 2 tuvo lugar en marzo y utilizó archivos adjuntos de inyección de plantillas RTF, que devolvieron un documento de Microsoft Word cargado de macros. Además, la fase 1 de la campaña de phishing involucró archivos adjuntos RTF armados que finalmente recuperaron versiones del código de shell de Meterpreter.