APT

All posts tagged APT

phishing-765x.jpg

Un grupo de piratería intentó ingresar a las empresas de servicios públicos en EEUU

Las estrategias de phishing siguen haciendo de las suyas. Esta vez, un grupo sospechoso de piratería patrocinado por el estado terrorista (estados que colaboran con el terrorismo: Corea del Norte, Irán, Sudán y Siria) intentó infiltrarse en empresas de servicios públicos estadounidenses en julio, según informaron los investigadores de Proofpoint Michael Raggi y Dennis Schwarz.

Entre el 19 y el 25 de julio, se enviaron correos electrónicos de phishing (estrategia de robo de identidad) a tres compañías estadounidenses responsables de proporcionar servicios públicos al público. El remitente de los correos se hacía pasar por una junta de licencias de ingeniería, el Consejo Nacional de Examinadores de Ingeniería y Topografía de EE. UU. El mensaje intentaba generar pánico, pues señalaba que la compañía que recibía el mensaje había reprobado un examen de seguridad emitido por este organismo.

Inducir el pánico es una técnica común de los correos de phishing. Si un objetivo está asustado, es más probable que siga las instrucciones de un correo electrónico de phishing sin pensarlo detenidamente.

El mensaje incluía un documento adjunto de Microsoft Word, llamado Result Notice.doc, que utilizaba macros incrustadas para generar código malicioso en un sistema receptor. Cuando los investigadores examinaron la IP descubrieron que se trataba de todo un grupo de dominios utilizados para suplantar a otras agencias de ingeniería y licencias eléctricas en los Estados Unidos. Aunque solo determinaron que el dominio original, nceess [.] Com, está activo en las campañas de phishing actuales. 

El malware que venía con los macros del archivo adjunto, se conoce como LookBack, y se inicia a través de GUP.exe y libcurl.dll. 

“LookBack es un troyano de acceso remoto (RAT), escrito en C ++, que puede ver datos del sistema, ejecutar shellcode, manipular, robar y eliminar archivos, tomar capturas de pantalla, eliminar procesos, mover y hacer clic con el mouse sin interacción del usuario, forzar una PC infectada para reiniciar a su antojo y eliminarse de una máquina”, reseña el medio ZDNet.

Pero LookBack puede hacer más, es capaz de crear un canal C2 y un proxy para filtrar y enviar información del sistema al servidor del atacante. 

De momento no se puede presumir que un grupo patrocinado por el estado busca interrumpir las utilidades y servicios públicos centrales. La evidencia es que el malware no se ha asociado activamente con ningún APT anteriormente y “no se identificaron superposiciones adicionales de infraestructura o código para sugerir una atribución a un adversario específico”, señalaron los investigadores.

Sin embargo las macros utilizadas proporcionan una pista de estas actividades fraudulentas, y son sorprendentemente similares al código utilizado en los ataques japoneses con campañas APT en 2018.

“Creemos que este puede ser el trabajo de un actor APT patrocinado por el estado basado en superposiciones con campañas históricas y macros utilizadas”, dice Proofpoint. “La utilización de esta metodología de entrega distinta junto con el malware LookBack único resalta las continuas amenazas que representan los adversarios sofisticados para los sistemas de servicios públicos y los proveedores de infraestructura crítica”.

leer más
Diarleth G.Un grupo de piratería intentó ingresar a las empresas de servicios públicos en EEUU
0.jpg

Hackeo “masivo” a redes de operadores móviles expone años de registros telefónicos

¿Te imaginas estar en la mira de un pirata informático? Uno podría pensar cosas como, ¿para que querrían hackearme? Pero la verdad es que los hackers pueden causarle dolores de cabeza a cualquiera sin que tenga que existir una razón muy importante. Sin embargo, es cierto que cuando suelen atacar buscan objetivos más claros.

En el siguiente post, por ejemplo, te hablaremos de cómo un atacante sofisticado se infiltró exitosamente dentro de diversos proveedores de celulares para recopilar información sobre usuarios muy específicos. Se cree que al menos 20 personas estuvieron en la mira de un astuto hacker, pero no te preocupes, seguramente tú no estás en esa pequeña lista.

Roban años de registros de llamadas de redes celulares hackeadas

Los piratas informáticos han interrumpido sistemáticamente a más de 10 redes celulares en todo el mundo en los últimos siete años para obtener cantidades masivas de registros de llamadas, incluidas las fechas y los tiempos de las llamadas, así como también sus ubicaciones pero todo esto solo en un grupo muy selecto de personas,  hablamos de no más de 20 víctimas.

Ante esto, investigadores de Cybereason dijeron que detectaron estos ataques por primera vez hace aproximadamente un año. Los investigadores creen que el objetivo de  estos piratas informáticos era obtener y descargar registros de la base de datos del proveedor de los celulares sin tener que desplegar algún malware en el dispositivo de cada objetivo.

Adicionalmente los investigadores descubrieron que los piratas informáticos entraron en una de las redes celulares al explotar una vulnerabilidad en un servidor web conectado a Internet para obtener un punto de apoyo en la red interna del proveedor. Desde allí, los hackers continuaron explotando cada máquina que encontraron robando credenciales para obtener un acceso mucho más profundo.

¿Quiénes son los culpables?

Cybereason afirma con una “muy alta probabilidad” que los hackers estuvieron respaldados por un estado-nación. Los investigadores se mostraron reacios a hacer cualquier tipo de acusación formal.

El reporte indica: “Las herramientas y las técnicas, como el malware utilizado por los piratas informáticos, parecían ser el ‘libro de texto APT10’, en referencia a un grupo de hackers que se cree que está respaldado por China” también dijeron que era APT10, “o alguien que quiere digamos que es [APT10] “.

Los informes indican lo siguiente:

El ataque tenía como objetivo obtener registros CDR de un gran proveedor de telecomunicaciones.

El actor de las amenazas intentaba robar todos los datos almacenados en el directorio activo, comprometiendo cada nombre de usuario y contraseña en la organización, junto con otra información personal identificable, como datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, ubicación geográfica de los usuarios, y más.

Las herramientas, así como sus TTP (Tácticas, Técnicas y Procedimientos) utilizados se asocian comúnmente con los actores de amenazas chinos. Durante el ataque persistente, los atacantes trabajaron en oleadas, abandonando un hilo de ataque cuando fue detectado y detenido, solo para regresar meses después con nuevas herramientas y técnicas. Pero, las herramientas y las técnicas, así como el malware utilizado por los piratas informáticos, indicaba que estos ataques habían sido realizados por APT10, un grupo de piratas informáticos que se cree que está respaldado por China.

leer más
Diarleth G.Hackeo “masivo” a redes de operadores móviles expone años de registros telefónicos
taj-mahal-apt.jpg

El nuevo kit de ciberespionaje ‘TajMahal’ incluye 80 módulos maliciosos

TajMahal, una plataforma de ciberespionaje previamente desconocida que cuenta con aproximadamente 80 módulos maliciosos diferentes y activa desde al menos 2013, fue descubierta por el equipo de investigación de Kaspersky Lab a fines de 2018.

A pesar de que estuvo activo durante los últimos seis años, “con la primera muestra fechada en abril de 2013 y la más reciente en agosto de 2018“, el marco de la amenaza persistente avanzada (APT por sus siglas en inglés) aún no está conectado a ningún grupo de piratas informáticos o hackers.

Como lo descubrió Kaspersky Lab, TajMahal es un marco de ataque de múltiples etapas que viene con dos paquetes maliciosos, que se denominan Tokio y Yokohama, y ​​se cayeron uno tras otro en la computadora del objetivo.

El paquete más pequeño de Tokio implementado durante la primera etapa de infección viene con funcionalidad de puerta trasera y se usa para eliminar el paquete de espionaje de Yokohama con todas las funciones que incluye alrededor de “80 módulos en total, e incluyen cargadores, orquestadores, comunicadores de comando y control, grabadores de audio, ‘keyloggers’, capturadores de pantalla y webcam, ladrones de claves y criptografía“.

Todos los sistemas en los que los investigadores encontraron el marco TajMahal en la naturaleza fueron infectados tanto por Tokio como por Yokohama, lo que sugiere que ambos permanezcan funcionales en las máquinas comprometidas, lo que infiere “que Tokio se usó como primera infección, implementando el sistema completamente funcional. Paquete de Yokohama sobre víctimas interesantes, y luego se dejó para fines de copia de seguridad “.

Una vez que Yokohama se deja caer en la computadora de la víctima, se utiliza para buscar documentos interesantes y archivos multimedia, robar cookies y copias de seguridad, deslizar archivos de la cola de la impresora, CD grabados y dispositivos de almacenamiento USB.

Todos estos datos recopilados se envían posteriormente a un servidor de comando y control controlado por el grupo de piratería detrás del marco APT en forma de un archivo XML denominado TajMahal.

Debido a que una entidad diplomática de Asia central es la única víctima confirmada por TajMahal por parte de los investigadores, dado que el ataque tuvo lugar en 2014, a pesar de que el marco se usó durante al menos cinco años, Kaspersky Labteorizó que existen otros objetivos que tenían sus sistemas informáticos comprometidos utilizando esta plataforma de ciberespionaje“.

Algunas de las capacidades descubiertas por los investigadores de Kaspersky Lab al examinar el marco de trabajo de TajMahal son:

  • Capaz de robar documentos enviados a la cola de la impresora.
  • Los datos recopilados para el reconocimiento de víctimas incluyen la lista de respaldo para dispositivos móviles de Apple.
  • Toma capturas de pantalla al grabar audio de aplicaciones VoiceIP.
  • Roba imágenes de CD escritas.
  • Capaz de robar archivos vistos previamente en unidades extraíbles una vez que estén disponibles nuevamente.
  • Roba cookies de Internet Explorer, Netscape Navigator, FireFox y RealNetworks.
  • Si se elimina del archivo de frontend o de los valores de registro relacionados, volverá a aparecer después de reiniciar con un nuevo nombre y tipo de inicio.

Más víctimas aún no identificadas

El analista principal de malware de Kaspersky Lab, Alexey Shulmin , dijo : “El marco de trabajo TajMahal es un hallazgo muy interesante e intrigante. La sofisticación técnica está fuera de toda duda y presenta una funcionalidad que no hemos visto antes en los APTs (actores avanzados de amenazas). Quedan algunas preguntas. Por ejemplo, parece muy improbable que se realice una inversión tan grande para una sola víctima“.

Además, “Esto sugiere que hay otras víctimas aún no identificadas, o versiones adicionales de este malware en la naturaleza, o posiblemente ambos. Los vectores de distribución e infección para la amenaza también siguen siendo desconocidos. De alguna manera, se ha mantenido bajo el radar para más de cinco años. Ya sea debido a una relativa inactividad o algo más, es otra pregunta interesante. No hay pistas de atribución ni enlaces que podamos encontrar en grupos de amenazas conocidos“.

A pocos días de que se diera a conocer la existencia de Tritón, el malware capaz de destruir al mundo, ahora nos enteramos de la presencia casi invisible de un nuevo paquete malicioso quizá más elaborado.

leer más
Isaul CarballarEl nuevo kit de ciberespionaje ‘TajMahal’ incluye 80 módulos maliciosos
hombre-en-el-medio.png

Ataque masivo a la infraestructura de la internet, advierte ICANN

ICANN, el organismo encargado de regular la designación de nombres de dominio, advirtió el viernes pasado sobre un ataque masivo a la infraestructura misma del internet, también conocido Sistema de Nombre de Dominio (DNS por sus siglas en inglés).

Logo ICANN

La Corporación de Internet para Nombres y Números Asignados (ICANN, por sus siglas en inglés) ha declarado que las partes clave de su infraestructura están bajo el “riesgo continuo y significativo” de los atacantes, que se cree que están respaldados por los estados.

El grupo advirtió sobre la amenaza después de una reunión de emergencia para discutir los ataques contra la infraestructura clave de Internet. Estos ataques podrían remontarse hasta 2017, según el analista de FireEye, Ben Read, pero han suscitado una creciente preocupación en los últimos meses en medio de crecientes ataques.

De acuerdo con la ICANN, los atacantes apuntan al Sistema de nombres de dominio (DNS), que traduce los nombres de dominio a direcciones IP para que los navegadores web puedan cargar contenido web y enrutar el tráfico a su destino previsto. El DNS a veces se conoce como la “guía telefónica de Internet”.

“Van por la infraestructura de Internet en sí”, dijo el director de tecnología de la ICANN, David Conrad, a la Agence France Press (AFP). “Ha habido ataques dirigidos en el pasado, pero nada como esto”.

¿Qué hacer ante estos ataques?

Estos ataques podrían usarse para interceptar o redirigir el tráfico de Internet, o para permitir que los piratas informáticos “suplanten” sitios web importantes, como sitios web gubernamentales.

En realidad es muy poco lo que el usuario promedio de internet puede hacer. Puesto en contexto, esto es el equivalente de alguien metiéndose a la oficina de correos, revisar u obtener algunas bases de datos, y dejar todo funcionando como de costumbre.

Ataque ICANN

Conrad agregó que no había una sola herramienta que pudiera usarse para abordar el problema. En cambio, la ICANN advierte que es necesario un endurecimiento general de las defensas web. Específicamente, solicitó una implementación más generalizada de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC), que protege el tráfico provisto por el DNS al agregar ‘firmas digitales’ criptográficas para la autenticación, lo que facilita la identificación de los datos que han sido manipulados. La DNSSEC también ayuda a los usuarios de Internet a prevenir ataques “hombre-en-el-medio” (man-in-the-middle), en los que los usuarios, sin saberlo, son redirigidos a sitios potencialmente maliciosos, dijo la ICANN.

“Los informes públicos indican que hay un patrón de ataques multifacéticos que utilizan diferentes metodologías”, dijo una declaración de la ICANN . “Algunos de los ataques apuntan al DNS, en el que se realizan cambios no autorizados a la estructura de delegación de nombres de dominio, reemplazando las direcciones de los servidores previstos por direcciones de máquinas controladas por los atacantes”.

“Este tipo particular de ataque, que se dirige al DNS, solo funciona cuando DNSSEC no está en uso”.

La adopción de DNSSEC se encuentra actualmente en aproximadamente el 20 por ciento.

En enero, las autoridades del gobierno de EEUU emitieron una advertencia sobre los ataques contra el DNS que se cree están orquestados por hackers respaldados por algún estado, también conocidos como APT’s. Se cree que las agencias del gobierno de los Estados Unidos están entre los objetivos de estos ataques.

”[Este tipo de ataque] es equivalente a que alguien mienta a la oficina de correos sobre su dirección, revise su correo y luego se lo entregue personalmente a su buzón”, dijo el Departamento de Seguridad Nacional. “Se podrían hacer muchas cosas perjudiciales para usted (o los remitentes)”.

Según FireEye, los atacantes “DNSpionage” han estado buscando nombres de correo electrónico y contraseñas para robar las credenciales de las cuentas en una escala masiva, en particular las de los registradores de sitios web y los proveedores de servicios de Internet en el Medio Oriente y algunas partes de Europa: “Hay evidencia de que está saliendo de Irán y se están haciendo en apoyo de Irán ”, dijo. Los objetivos incluyen gobiernos, servicios de inteligencia, aplicación de la ley, especialistas en seguridad cibernética, la industria petrolera y las aerolíneas.

Opinión: ¿La intención de estos ataques?

Lo que no está claro es los fines del porqué alguien decidiría atacar a la estructura misma de la web. Si me preguntas a mi, podemos suponer que son hackers de medio tiempo tratando de ganar el próximo premio al hackeo más grande.

Aunque por otro lado, también puede ser que sea parte de un movimiento underground para mover los cimientos mismo de la web, para generar conciencia al respecto, y quizá lograr salir del “monopolio” de ICANN.

La alternativa más aterradora y quizá también la más probable dado el calibre del ataque, es que sean hackers de Irán con fines geopolíticos en pos de una guerra cibernética.

En estos tiempos, todo es posible.

leer más
Isaul CarballarAtaque masivo a la infraestructura de la internet, advierte ICANN