Seguridad TI

APT10: Nuevo ataque global de hackers chinos

Según S21sec, compañía española de seguridad digital, el FBI, lanzó una alerta para informar de una nueva ola de ataques de hackers que trabajan bajo el patrocinio del gobierno chino, bajo la denominación APT10, con riesgo de intrusiones en redes gubernamentales, proveedores de servicios administrados (MSP, por sus siglas en inglés) y redes empresariales a nivel mundial.

El FBI obtuvo información referente a un grupo de ciber actores chinos que roban información de alto valor a víctimas privadas y gubernamentales en Estados Unidos y otros países. El grupo también ha sido reportado en otras alertas como APT10, Cloud Hopper, menuPass, Stone Panda, Red Apollo, CVNX y POTASSIUM.

Sus objetivos principales son MSP (proveedores de servicios administrados); sus clientes privados y gubernamentales; así como proveedores y entidades gubernamentales de servicios de defensa.

APT10 utiliza varias técnicas para comprometer sus objetivos, tales como como malware y spear phising. Después del ataque inicial, el grupo busca credenciales de administrador del MSP para pivotear entre la red en la nube del propio proveedor, y los sistemas de sus clientes.

La referida alerta considera que, además de las víctimas que puedan generarse por el acceso a través de los MSP, se podrían producir ataques en empresas de agricultura, automotriz, contratistas de defensa, electrónica, energía, minería, financiero, gobierno, defensa, transporte de mercancía (logística), telecomunicaciones, manufactura y salud, entre otros.
 
Los tipos de malware que emplea, según la referida alerta son:

  • RedLeaves, que es un RAT, para el cual se emplea como vector de ataque el spear-phishing.
  • Uppercut/ Anel, puerta trasera, empleada en campañas de spear-phishing igualmente. Se despliega a través de señuelos para lo que emplea documentos de Word que contienen macros de Visual Basic (VBA).
  • ChChes, conocido como Chinese Chess, RAT que comunica con los servidores C2 empleando encabezados de cookie HTTP.
  • QuasarRat. En relación con este último, investigadores de Palo Alto, llegaron a determinar que un actor denominado GorgonGroup, en febrero de 2018 comenzó una campaña sobre objetivos gubernamentales en organizaciones del Reino Unido, España y Rusia, así como de los Estados Unidos.

 

Como en otros casos de spear phishing, las recomendaciones son las siguientes:

  • Parcheo y supervisión de los sistemas ante la posible existencia de vulnerabilidades no parqueadas
  • campañas de formación y concienciación periódicas que permitan mantener informados a los empleados de la organización sobre los nuevos casos de Spear Phishing, las actualizaciones de seguridad, vulnerabilidades, malware, etc.
  • Actualización de sistemas y políticas de ciberseguridad.

-Comunicado de prensa.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>