Así han evolucionado las ciberamenazas de los grupos APT

  • Actualidad

Con la pandemia, como han mostrado muchas investigaciones, los grupos APT han continuado invirtiendo en mejorar sus herramientas, han diversificados los vectores de ataque y han ampliado sus objetivos. Los expertos de Kaspersky han realizado un análisis de la evolución de los ataques del segundo trimestre, y concluyen que es necesario seguir invirtiendo en inteligencia de amenazas.

En el segundo trimestre de 2020, Kaspersky observó múltiples desarrollos en las técnicas de amenazas de los grupos de APT en todo el mundo. Los cambios más significativos fueron implementados por los siguientes grupos:

--El grupo Lazarus, que ha sido un actor importante de amenazas durante varios años, ahora está invirtiendo aún más en ataques para obtener ganancias financieras. Junto con objetivos como el ciberespionaje y el cibersabotaje, este actor de amenazas se ha dirigido a bancos y otras compañías financieras de todo el mundo. Este trimestre, los investigadores de Kaspersky también pudieron identificar que Lazarus comenzó a lanzar ransomware, una actividad atípica para un grupo APT, utilizando un marco multiplataforma llamado MATA para distribuir el malware. Anteriormente, Lazarus se había asociado con el ataque WannaCry.

--CactusPete, un actor de amenazas de habla china, ahora usa comúnmente ShadowPad, una plataforma de ataque compleja y modular que presenta complementos y módulos para diversas funcionalidades. ShadowPad se ha implementado previamente en varios ataques, con un subconjunto diferente de complementos utilizados en diferentes casos de ataque.

--El APT MuddyWater fue descubierto en 2017 y ha estado activo en el Oriente Medio desde entonces. En 2019, los investigadores de Kaspersky informaron de actividad contra compañías de telecomunicaciones y organizaciones gubernamentales en la región. Kaspersky descubrió recientemente que MuddyWater estaba usando una nueva cadena de herramientas C ++ en una ola de ataques en la que el actor aprovechó una utilidad de código abierto llamada Secure Socket Funneling para realizar el movimiento lateral.

--El APT HoneyMyte llevó a cabo un ataque ‘watering hole’ en el sitio web de un gobierno del sudeste asiático, el cual parecía aprovechar las técnicas de listas blancas y de ingeniería social para infectar a sus objetivos. La carga útil final fue un archivo ZIP simple que contenía un archivo "readme" que incitaba a la víctima a ejecutar un implante Cobalt Strike.

--OceanLotus, el actor de amenazas detrás de la avanzada campaña móvil PhantomLance, ha estado usando nuevas variantes de su cargador de múltiples etapas desde la segunda mitad de 2019. Las nuevas variantes usan información específica del host objetivo que obtuvieron de antemano para garantizar que su implante final se despliegue en la víctima correcta. El grupo continúa desplegando su implante de puerta trasera, así como Cobalt Strike Beacon, configurándolos con una infraestructura actualizada.

“Todos estos desarrollos solo resaltan la importancia de invertir en la inteligencia del panorama de amenazas. Los ciberdelincuentes no se detienen ante lo que ya han logrado, sino que continuamente lanzan nuevos desarrollos, y también deberían hacerlo aquellos que desean protegerse a sí mismos y a sus organizaciones de los ataques”, ha concluido Vicente Díaz, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.