Los principales grupos APT cambian su 'modus operandi': así son ahora sus ataques
- Seguridad
Los principales grupos de amenazas han actualizado sus métodos de ataque y sus objetivos durante el confinamiento, según han constatado los investigadores de Kaspersky, cuyo trabajo se ha plasmado en el último informe trimestral de inteligencia sobre amenazas de la firma.
Los investigadores de Kaspersky han observado durante el segundo trimestre del año un constante desarrollo de los arsenales de APT en diferentes frentes: desde la búsqueda de nuevas plataformas y la explotación activa de la vulnerabilidad hasta el cambio a nuevas herramientas totalmente desconocidas.
En un informe, recogen los cambios más significativos de grupos cibercriminales muy conocidos. Es el caso del grupo Lazarus, que ha sido un importante actor de amenazas durante varios años y que está invirtiendo aún más en ataques para obtener beneficios financieros. Además de objetivos como el ciberespionaje y el cibersabotaje, este actor se ha dirigido a bancos y otras entidades financieras en todo el mundo. En el segundo trimestre, Kaspersky también han descubierto que Lazarus comenzó a operar con ransomware, una actividad atípica para un grupo APT, que utiliza un framework multiplataforma llamado MATA para distribuir el malware. Anteriormente, Lazarus fue asociado con el conocido ataque WannaCry.
Por otro lado, está CactusPete, un grupo que ahora usa ShadowPad, una plataforma de ataque compleja y modular que cuenta con plugins y módulos para diversas funcionalidades. ShadowPad ha sido desplegado con anterioridad en varios ciberataques importantes, con un subconjunto diferente de plugins utilizados en diferentes casos.
El informe de Kaspersky dedica un espacio a la APT MuddyWater, que fue descubierta en 2017 y ha estado activa en Oriente Medio desde entonces. En 2019, los investigadores de Kaspersky informaron de la actividad contra empresas de telecomunicaciones y organizaciones gubernamentales en esta región. Recientemente la compañía de seguridad ha descubierto que MuddyWater estaba utilizando un nuevo framework malicioso implementado en C++ en una nueva oleada de ataques, durante la cual el actor aprovechó una utilidad de código abierto llamada Secure Socket Funneling para movimiento lateral.
Otro ejemplo es OceanLotus, actor de amenazas que está detrás de la campaña móvil PhantomLance, que ha estado utilizando nuevas variantes de su cargador multi-fase desde la segunda mitad de 2019. Las nuevas variantes utilizan información específica del objetivo (nombre de usuario, nombre de host, etc.) al que se dirigen, obteniéndola con anterioridad para asegurarse de que su implante final se aplica a la víctima correcta. El grupo continúa desplegando su implante de puerta trasera, así como Cobalt Strike Beacon, configurándolos con una infraestructura actualizada.
También cita a HoneyMyte, que llevó llevó a cabo un ataque ”watering hole” en el sitio web de un gobierno del sudeste asiático. Este ataque, realizado en marzo, pretendía aprovechar las técnicas de ingeniería social y de listas blancas para infectar a sus objetivos. La carga final fue un simple archivo ZIP que contenía un archivo que indicaba "léeme", incitando a la víctima a ejecutar un implante de Cobalt Strike. El mecanismo utilizado para ejecutar Cobalt Strike fue DLL side loading, que descifró y ejecutó Cobalt Strike.
En definitiva, el informe constata que los grupos cibercriminales siguen invirtiendo en la mejora de sus herramientas, diversificando los vectores de ataque e incluso cambiando a nuevos tipos de objetivos, por lo que la firma de seguridad recomienda a las empresas que inviertan en inteligencia de amenazas para que sus equipos SOC estén informados, que protejan los endpoints con una solución de seguridad que detecte amenazas avanzadas a nivel de red en una fase temprana, y que implanten programas de concienciación sobre seguridad que incluya habilidades prácticas.