Los grupos APT continúan diversificando su arsenal de ciberamenazas

  • Seguridad

La pandemia de la COVID-19 está siendo usada activamente como cebo para muchas campañas. Los investigadores de Kaspersky han visto el desarrollo continuo de arsenales de APT en diferentes frentes, desde apuntar a nuevas plataformas y explotar vulnerabilidades activas, hasta migrar a nuevas herramientas por completo.

Recomendados: 

Las empresas españolas aceptan lentamente los desafíos de la ciberseguridad (Informe Forbes Insights) Leer 

Inteligencia Artificial, ¿cómo lo aplico en mi empresa? Webinar

En el segundo trimestre de 2020, los investigadores de Kaspersky observaron múltiples desarrollos en las técnicas y arsenales de amenazas de los grupos de APT en todo el mundo. Los cambios más significativos fueron implementados por los siguientes grupos:

--El grupo Lazarus, que ha sido un actor importante de amenazas durante varios años, ahora está invirtiendo aún más en ataques para obtener ganancias financieras. Junto con objetivos como el ciberespionaje y el cibersabotaje, este actor de amenazas se ha dirigido a bancos y otras compañías financieras de todo el mundo. Este trimestre, los investigadores de Kaspersky también pudieron identificar que Lazarus comenzó a lanzar ransomware, una actividad atípica para un grupo APT, utilizando un marco multiplataforma llamado MATA para distribuir el malware. Anteriormente, Lazarus se había asociado con el ataque WannaCry.

--CactusPete, un actor de amenazas de habla china, ahora usa comúnmente ShadowPad, una plataforma de ataque compleja y modular que presenta complementos y módulos para diversas funcionalidades. ShadowPad se ha implementado previamente en varios ataques, con un subconjunto diferente de complementos utilizados en diferentes casos de ataque.

--El APT MuddyWater fue descubierto en 2017 y ha estado activo en el Oriente Medio desde entonces. En 2019, los investigadores de Kaspersky informaron de actividad contra compañías de telecomunicaciones y organizaciones gubernamentales en la región. Kaspersky descubrió recientemente que MuddyWater estaba usando una nueva cadena de herramientas C ++ en una ola de ataques en la que el actor aprovechó una utilidad de código abierto llamada Secure Socket Funneling para realizar el movimiento lateral.

--El APT HoneyMyte llevó a cabo un ataque ‘watering hole’ en el sitio web de un gobierno del sudeste asiático, el cual parecía aprovechar las técnicas de listas blancas y de ingeniería social para infectar a sus objetivos. La carga útil final fue un archivo ZIP simple que contenía un archivo "readme" que incitaba a la víctima a ejecutar un implante Cobalt Strike.

--OceanLotus, el actor de amenazas detrás de la avanzada campaña móvil PhantomLance, ha estado usando nuevas variantes de su cargador de múltiples etapas desde la segunda mitad de 2019. Las nuevas variantes usan información específica del host objetivo que obtuvieron de antemano para garantizar que su implante final se despliegue en la víctima correcta. El grupo continúa desplegando su implante de puerta trasera, así como Cobalt Strike Beacon, configurándolos con una infraestructura actualizada.

"La actividad cibercriminal definitivamente no se ha suspendido en los últimos meses. Vemos que los actores continúan invirtiendo en mejorar sus conjuntos de herramientas, diversificar los vectores de ataque e incluso cambiar a nuevos tipos de objetivos. Por ejemplo, el uso de implantes móviles ya no es una novedad. Otra tendencia que vemos es el movimiento hacia la ganancia financiera de algunos grupos de APT, como BlueNoroff y Lazarus. Sin embargo, la geopolítica sigue siendo un motivo importante para muchos actores de amenazas”, comenta Vicente Díaz, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky. “Todos estos desarrollos solo resaltan la importancia de invertir en la inteligencia del panorama de amenazas. Los ciberdelincuentes no se detienen ante lo que ya han logrado, sino que continuamente lanzan nuevos desarrollos, y también deberían hacerlo aquellos que desean protegerse a sí mismos y a sus organizaciones de los ataques”.