Los grupos APT se renuevan y diversifican sus ataques

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

El grupo de ciberdelincuentes Ransom House ha realizado la tercera filtración de datos robados en el ciberataque contra el Hospital Clínic de Barcelona
El grupo de ciberdelincuentes Ransom House ha realizado la tercera filtración de datos robados en el ciberataque contra el Hospital Clínic de Barcelona

Los ciberdelincuentes han aprovechado la pandemia de la Covid-19 para convertirla en el cebo de numerosas campañas, ya sean grandes o pequeñas.

Los investigadores de la compañía de ciberseguridad Kaspersky han observado en suúltimo informe trimestral de inteligencia sobre amenazas el constante desarrollo de los arsenales de APT en diferentes frentes: desde la búsqueda de nuevas plataformas y la explotación activa de la vulnerabilidad hasta el cambio a nuevas herramientas completamente desconocidas.

Los grupos APT con los cambios son más significativos

Según explica la compañía, durante el segundo trimestre del 2020 han observado numerosos desarrollos en los TTP de los grupos de APT, y los cambios más significativos los han llevado a cabo los siguientes grupos:

Lazarus Group: Este grupo lleva varios años siendo un importante actor de amenazas y ahora está invirtiendo aún más en ataques para obtener beneficios financieros. Además de objetivos como el ciberespionaje y el cibersabotaje, se ha dirigido a bancos y otras entidades financieras de todo el mundo.

Este trimestre, los investigadores de Kaspersky también han podido comprobar que Lazarus comenzó a operar con ransomware, una actividad atípica para un grupo APT, usando un marco multiplataforma llamado MATA para distribuir el malware. Anteriormente, Lazarus ha sido relacionado con el conocido ataque WannaCry.

CactusPete: Ahora un actor de amenazas usa ShadowPad, una plataforma de ataque compleja y modular que cuenta con módulos y plugins para diversas funcionalidades. ShadowPad ha sido desplegado previamente en varios ciberataques importantes, con un subconjunto distinto de plugins utilizados en diferentes casos.

La APT MuddyWater fue descubierta en 2017 y desde entonces ha estado activa en Oriente Medio. El año pasado, los investigadores de Kaspersky informaron de la actividad contra empresas de telecomunicaciones y organizaciones gubernamentales en Oriente Medio. Recientemente, se ha descubierto que MuddyWater estaba utilizando un nuevo framework malicioso implementado en C++ en una nueva oleada de ataques, durante la cual el actor aprovechó una utilidad de código abierto llamada Secure Socket Funneling para movimiento lateral.

La APT HoneyMyte llevó a cabo un ataque "watering hole" en la página web de uno de los gobiernos del sudeste asiático. Este ataque, realizado en marzo, pretendía aprovechar las técnicas de ingeniería social y de listas blancas para infectar a sus objetivos.

La carga final fue un simple archivo ZIP que contenía un archivo que indicaba "léeme", incitando a la víctima a ejecutar un implante de Cobalt Strike. El mecanismo utilizado para ejecutar Cobalt Strike fue DLL side loading, que descifró y ejecutó Cobalt Strike.

OceanLotus: Este actor de amenazas está detrás de la campaña móvil PhantomLance y, desde la segunda mitad de 2019, ha estado utilizando nuevas variantes de su cargador multifase.

Estas nuevas variantes utilizan información específica del objetivo (nombre de usuario, nombre de host, etc.) al que se dirigen, obteniéndola con anterioridad para asegurarse de que su implante final se aplica a la víctima correcta. El grupo continúa desplegando su implante de puerta trasera, así como Cobalt Strike Beacon, configurándolos con una infraestructura actualizada.

"Los ciberdelincuentes no se limitan en aquello que ya han logrado, sino que continuamente desarrollan nuevos TTP"

"Observamos que los actores siguen invirtiendo en la mejora de sus herramientas, diversificando los vectores de ataque e incluso cambiando a nuevos tipos de objetivos. Por ejemplo, el uso de implantes móviles ya no es una novedad. Otra tendencia que podemos ver es el movimiento hacia la ganancia financiera por parte de algunos grupos de APT como BlueNoroff y Lazarus. Sin embargo, la geopolítica sigue siendo un motivo importante que mueve a muchos actores de amenazas", afirma Vicente Díaz, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.