Los autores de amenazas avanzadas cambian sus estrategias de ataque

  • Seguridad

Frente a aquellos que reinventan sus técnicas, utilizando malware escrito con lenguajes de programación menos conocidos, así como a través de servicios legítimos en la nube, otros atacantes alcanzan sus objetivos usando vectores de infección y kits de herramientas menos sofisticados.

Recomendados: 

Demostración de un ataque dirigido a entornos OT Webinar

Ciberseguridad industrial, protegiendo las redes IT y OT Leer 

Ciberseguridad orientada al futuro Leer 

En el tercer trimestre de 2020, los investigadores de Kaspersky observaron divergencias de enfoque por parte de los grupos de Amenazas Avanzadas Persistentes (APT), entre ellos numerosos cambios en las tácticas, técnicas y procedimientos, junto con campañas eficaces que utilizaban vectores de infección y kits de herramientas menos sofisticados.

Mientras muchos actores de amenazas siguen desarrollando y diversificando su kit de herramientas, recurriendo en ocasiones a herramientas extremadamente persistentes y hechas a medida, otros alcanzan sus objetivos con métodos de ataque bien conocidos que han resistido la prueba del tiempo, según recoge el último informe trimestral de inteligencia de amenazas de Kaspersky.

Uno de los hallazgos más destacados del trimestre fue una campaña llevada a cabo por un actor desconocido, que decidió infectar a una de sus víctimas utilizando un bootkit UEFI, un componente de hardware esencial en cualquier dispositivo informático moderno. Este vector de infección formó parte de un framework modular complejo desplegado en varias etapas denominado Mosaic Regressor. La infección de UEFI hizo que el malware implantado en el dispositivo se volviera especialmente persistente y difícil de eliminar.

Otros actores recurren a la esteganografía. Una campaña atribuida a Ke3chang utilizó una nueva versión de la puerta trasera Okrum que aprovecha un binario de Windows Defender firmado con Authenticode mediante la utilización de una técnica única de carga lateral. Los atacantes utilizaron la esteganografía para esconder la carga útil principal en el archivo ejecutable de Windows Defender, manteniendo a su vez la validez de la firma digital para reducir la posibilidad de detección.

Muchos otros actores siguen actualizando sus kits de herramientas para hacerlos más flexibles y menos proclives a ser detectados. Siguen apareciendo diversos framework multifase, tales como el que ha sido desarrollado por el grupo APT MuddyWater. Sin embargo, algunos actores siguen utilizando de forma exitosa cadenas de infección sencillas. Un ejemplo de ello es un grupo mercenario llamado DeathStalker, que se dirige principalmente a bufetes de abogados y entidades financieras con el objetivo de sustraer de sus víctimas información sensible y de alto valor. Mediante técnicas que apenas se han modificado desde 2018, DeathStalker ha puesto el foco en evadir la detección, lo que le ha permitido realizar diversos ataques con éxito.

“Mientras algunos actores de amenazas se mantienen consistentes a lo largo del tiempo y se limitan a aprovechar temas de actualidad como la Covid-19 para tentar a sus víctimas a descargar archivos maliciosos, otros grupos reinventan sus kits de herramientas y a sí mismos. A lo largo del último trimestre hemos observado una creciente variedad de las plataformas atacadas, trabajo continuo en nuevas cadenas de infección y la utilización de servicios legítimos como parte de su infraestructura de ataques. Esto incluye malware escrito con lenguajes de programación menos conocidos, así como a través de servicios legítimos en la nube. En términos generales, para los especialistas en ciberseguridad esto significa que los defensores tienen que invertir más recursos en detectar actividad maliciosa en entornos nuevos y posiblemente legítimos a los que anteriormente se prestaba menos atención”, ha comentado Ariel Jungheit, analista senior de seguridad del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.