Kaspersky Lab

All posts tagged Kaspersky Lab

taj-mahal-apt.jpg

El nuevo kit de ciberespionaje ‘TajMahal’ incluye 80 módulos maliciosos

TajMahal, una plataforma de ciberespionaje previamente desconocida que cuenta con aproximadamente 80 módulos maliciosos diferentes y activa desde al menos 2013, fue descubierta por el equipo de investigación de Kaspersky Lab a fines de 2018.

A pesar de que estuvo activo durante los últimos seis años, “con la primera muestra fechada en abril de 2013 y la más reciente en agosto de 2018“, el marco de la amenaza persistente avanzada (APT por sus siglas en inglés) aún no está conectado a ningún grupo de piratas informáticos o hackers.

Como lo descubrió Kaspersky Lab, TajMahal es un marco de ataque de múltiples etapas que viene con dos paquetes maliciosos, que se denominan Tokio y Yokohama, y ​​se cayeron uno tras otro en la computadora del objetivo.

El paquete más pequeño de Tokio implementado durante la primera etapa de infección viene con funcionalidad de puerta trasera y se usa para eliminar el paquete de espionaje de Yokohama con todas las funciones que incluye alrededor de “80 módulos en total, e incluyen cargadores, orquestadores, comunicadores de comando y control, grabadores de audio, ‘keyloggers’, capturadores de pantalla y webcam, ladrones de claves y criptografía“.

Todos los sistemas en los que los investigadores encontraron el marco TajMahal en la naturaleza fueron infectados tanto por Tokio como por Yokohama, lo que sugiere que ambos permanezcan funcionales en las máquinas comprometidas, lo que infiere “que Tokio se usó como primera infección, implementando el sistema completamente funcional. Paquete de Yokohama sobre víctimas interesantes, y luego se dejó para fines de copia de seguridad “.

Una vez que Yokohama se deja caer en la computadora de la víctima, se utiliza para buscar documentos interesantes y archivos multimedia, robar cookies y copias de seguridad, deslizar archivos de la cola de la impresora, CD grabados y dispositivos de almacenamiento USB.

Todos estos datos recopilados se envían posteriormente a un servidor de comando y control controlado por el grupo de piratería detrás del marco APT en forma de un archivo XML denominado TajMahal.

Debido a que una entidad diplomática de Asia central es la única víctima confirmada por TajMahal por parte de los investigadores, dado que el ataque tuvo lugar en 2014, a pesar de que el marco se usó durante al menos cinco años, Kaspersky Labteorizó que existen otros objetivos que tenían sus sistemas informáticos comprometidos utilizando esta plataforma de ciberespionaje“.

Algunas de las capacidades descubiertas por los investigadores de Kaspersky Lab al examinar el marco de trabajo de TajMahal son:

  • Capaz de robar documentos enviados a la cola de la impresora.
  • Los datos recopilados para el reconocimiento de víctimas incluyen la lista de respaldo para dispositivos móviles de Apple.
  • Toma capturas de pantalla al grabar audio de aplicaciones VoiceIP.
  • Roba imágenes de CD escritas.
  • Capaz de robar archivos vistos previamente en unidades extraíbles una vez que estén disponibles nuevamente.
  • Roba cookies de Internet Explorer, Netscape Navigator, FireFox y RealNetworks.
  • Si se elimina del archivo de frontend o de los valores de registro relacionados, volverá a aparecer después de reiniciar con un nuevo nombre y tipo de inicio.

Más víctimas aún no identificadas

El analista principal de malware de Kaspersky Lab, Alexey Shulmin , dijo : “El marco de trabajo TajMahal es un hallazgo muy interesante e intrigante. La sofisticación técnica está fuera de toda duda y presenta una funcionalidad que no hemos visto antes en los APTs (actores avanzados de amenazas). Quedan algunas preguntas. Por ejemplo, parece muy improbable que se realice una inversión tan grande para una sola víctima“.

Además, “Esto sugiere que hay otras víctimas aún no identificadas, o versiones adicionales de este malware en la naturaleza, o posiblemente ambos. Los vectores de distribución e infección para la amenaza también siguen siendo desconocidos. De alguna manera, se ha mantenido bajo el radar para más de cinco años. Ya sea debido a una relativa inactividad o algo más, es otra pregunta interesante. No hay pistas de atribución ni enlaces que podamos encontrar en grupos de amenazas conocidos“.

A pocos días de que se diera a conocer la existencia de Tritón, el malware capaz de destruir al mundo, ahora nos enteramos de la presencia casi invisible de un nuevo paquete malicioso quizá más elaborado.

leer más
Isaul CarballarEl nuevo kit de ciberespionaje ‘TajMahal’ incluye 80 módulos maliciosos

EEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso

El Cyber comando de los EEUU está lanzando muestras de malware atribuidas a grupos de hackers Rusos como un esfuerzo para compartir información

Hacker frente a computadora con banderas de EEUU y Rusia atrás

  • Cibercomando de los EEUU hizo públicas muestras de códigos de hackeo (malware)
  • Razón principal es para compartir información de ciberseguridad y posiblemente fines geopolíticos y/o de estrategia militar
  • Herramientas han sido atribuidas a Rusia por diversas empresas de ciberseguridad

Por lo general, son los rusos los que vuelcan los archivos de sus enemigos. Esta semana, el Comando Cibernético de los Estados Unidos (CYBERCOM, por sus siglas en inglés), una parte del ejército encargado de las misiones centradas en hacking y la ciberseguridad, comenzó a lanzar públicamente muestras no clasificadas de malware de los adversarios que ha descubierto.

CYBERCOM dice que la drástica medida es para mejorar el intercambio de información entre la comunidad de seguridad cibernética, pero de alguna manera podría verse como una señal para aquellos que hackean los sistemas de EEUU. Una señal indicando algo así como ‘nosotros también podemos hacer públicas sus herramientas y tácticas de hacking‘.

“Esto pretende ser un esfuerzo perdurable y continuo de intercambio de información, y no está enfocado en ningún adversario en particular”, dijo Joseph R. Holstead, director interino de asuntos públicos de CYBERCOM.

El viernes, CYBERCOM subió varios archivos a VirusTotal, un motor de búsqueda y repositorio de Google para código malware. Una vez arriba, los usuarios de VirusTotal pueden descargar el malware, ver qué productos antivirus o de ciberseguridad probablemente lo detectan, y ver enlaces a otras piezas de código malicioso.

Desde Rusia con amor

Una de las dos muestras que CYBERCOM distribuyó el viernes está marcada como proveniente de APT28, un grupo de hackers vinculado al gobierno ruso, según varias firmas de ciberseguridad, según lo confirmado por VirusTotal. Entre ellos se incluyen Kaspersky Lab, Symantec y Crowdstrike, entre otros. El grupo de cibercriminales APT28 también se le conoce como Sofacy y Fancy Bear.

Adam Meyers, vicepresidente de inteligencia de CrowdStrike, dijo que la muestra parecía nueva, pero las herramientas de la compañía la detectaron como maliciosa en el primer contacto. Kurt Baumgartner, investigador principal de seguridad en Kaspersky Lab, dijo que la muestra “fue conocida por Kaspersky Lab a finales de 2017” y fue la misma que se usó en ataques en Asia Central y el sudeste de Europa en ese momento.

“Al informar sobre ello, los investigadores de Kaspersky Lab señalaron que parecía interesante que estas organizaciones compartieran la superposición como objetivos anteriores de Turla [otro grupo de hacking ruso]. En general, no es “nuevo” sino que está disponible para el público de VirusTotal “.

El malware en sí no parece estar todavía activo. Un portavoz de Symantec dijo que los servidores de comando y control, las computadoras que le dicen al malware qué comandos ejecutar o almacenar datos robados, ya no funcionan. El vocero agregó que Symantec detectó la muestra cuando la compañía actualizó sus herramientas de detección hace un par de meses.

CYBERCOM anunció su nueva iniciativa el lunes y cargó sus dos primeras muestras el mismo día.

 

Referencia:

motherboard.vice.com

leer más
Isaul CarballarEEUU hace públicas herramientas de hacking atribuidas al gobierno Ruso