La empresa de ciberseguridad Avast publicó hoy un análisis conjunto de un ataque APT dirigido a empresas e instituciones de Asia Central. Avast trabajó junto con analistas de malware de ESET para analizar muestras utilizadas por un grupo APT (Advanced Persistent Threat) para espiar a una empresa de telecomunicaciones, una compañía de gas y una institución gubernamental en Asia Central. El grupo sembró backdoors para obtener acceso a largo plazo a las redes corporativas. Basándose en el análisis, Avast sospecha que el grupo también estaba detrás de ataques activos en Mongolia, Rusia y Bielorrusia. Avast cree que el grupo es de China, basándose en el uso de Gh0st RAT, que se sabe fue utilizado por grupos chinos de APT en el pasado dadas las similitudes en el código que Avast analizó y el código recientemente examinado en una campaña atribuida a actores chinos.
Las backdoors le dieron a los atacantes la capacidad de manipular y borrar archivos, tomar capturas de pantalla, alterar procesos y servicios, así como ejecutar comandos de consola y eliminarse a sí mismos. Además, algunos comandos tenían la capacidad de instruir a las backdoors para extraer datos a un servidor de mando y control. Los dispositivos infectados también podían ser comandados por un servidor C&C para que actuaran como proxy o para que escucharan en un puerto específico cada interfaz de la red. El grupo también usaba herramientas como Gh0st RAT e Instrumentación de Gestión para moverse lateralmente dentro de las redes infiltradas.
Los grupos que utilizan ataques del tipo APT suelen estar patrocinados por el estado y motivados por políticas e ideales en lugar de dinero. El consumidor promedio no necesita preocuparse por ser el objetivo ya que apuntan a espionaje, información y secretos comerciales de índole industrial o comercial.
El malware utilizado por los atacantes, Gh0st RAT, es un tipo de troyano bastante conocido. Se trata de una herramienta de control remoto que brinda a los atacantes control total de los sitemas en tiempo real.
Fuente: https://www.infotechnology.com
0 comentarios