Nuevos procedimientos y viejas tácticas: así han evolucionado las APT en el tercer trimestre

  • Actualidad

amenaza - darkweb

En su informe sobre la actividad de los grupos de Amenazas Avanzadas Persistentes (APT), Kaspersky destaca que el tercer trimestre ha estado marcado por la combinación de nuevas y viejas técnicas "con creatividad".

Recomendados: 

Crowdstrike Falcon Complete, detección y respuesta gestionada Leer

Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer 

Los investigadores de Kaspersky han observado durante los meses de julio, julio y agosto diferencias de enfoque por parte de los actores de amenazas, entre ellos numerosos cambios en las tácticas, técnicas y procedimientos (TTPs) de grupos APT que operan en el mundo, junto con campañas eficaces que utilizaban vectores de infección y kits de herramientas menos sofisticados.

Según explican, “mientras muchos actores de amenazas siguen desarrollando y diversificando su kit de herramientas, recurriendo en ocasiones a herramientas extremadamente persistentes y hechas a medida, otros alcanzan sus objetivos con métodos de ataque bien conocidos que han resistido la prueba del tiempo”.

Uno de los hallazgos más destacados del trimestre fue una campaña llevada a cabo por un actor desconocido, que decidió infectar a una de sus víctimas utilizando un bootkit UEFI, un componente de hardware esencial en cualquier dispositivo informático moderno. Este vector de infección formó parte de un framework modular complejo desplegado en varias etapas denominado Mosaic Regressor. La infección de UEFI hizo que el malware implantado en el dispositivo se volviera especialmente persistente y difícil de eliminar. El malware también era capaz de descargar una carga útil diferente en el dispositivo de cada víctima, un enfoque flexible que permitía al actor esconder la carga útil frente a testigos no deseados.

Otros actores están recurrido a la esteganografía. Por ejemplo, en un ataque a una telco europea se detectó un nuevo método “in the wild” que aprovechaba el binario de Windows Defender firmado por Authenticode, un programa aprobado e integrado en la solución de seguridad Windows Defender. Una campaña en activo atribuida a Ke3chang utilizó una nueva versión de la puerta trasera Okrum. Esta versión actualizada de Okrum aprovecha un binario de Windows Defender firmado con Authenticode mediante la utilización de una técnica única de carga lateral. Los atacantes utilizaron la esteganografía para esconder la carga útil principal en el archivo ejecutable de Windows Defender, manteniendo a su vez la validez de la firma digital para reducir la posibilidad de detección.

Según el informe, muchos otros grupos de ciberdelincuentes siguen actualizando sus kits de herramientas para hacerlos más flexibles y menos proclives a ser detectados. Siguen apareciendo diversos framework multifase “in the wild”, tales como el que ha sido desarrollado por el grupo APT MuddyWater. Esta tendencia también se ha detectado con otros tipos de malware, por ejemplo, la herramienta de acceso remoto (RAT) de Dtrack, que se actualizó con una nueva herramienta que permite al atacante ejecutar una mayor variedad de tipos de carga útil.

Sin embargo, algunos actores siguen utilizando de forma exitosa cadenas de infección sencillas. Un ejemplo de ello es un grupo mercenario que los analistas de Kaspersky denominan DeathStalker. Este APT se dirige principalmente a bufetes de abogados y entidades financieras con el objetivo de sustraer de sus víctimas información sensible y de alto valor. Mediante técnicas que apenas se han modificado desde 2018, DeathStalker ha puesto el foco en evadir la detección, lo que le ha permitido seguir realizando diversos ataques con éxito.

Consejos del especialista para evitar los ataques
- Proveer al equipo SOC de acceso a la última inteligencia sobre amenazas. El portal de inteligencia sobre amenazas de la firma, en el que se puede acceder a ciertas funcionalidades de forma gratuita, ofrece un punto de acceso único a la inteligencia sobre amenazas de la compañía,

- Implementar soluciones EDR para la detección, investigación y resolución de incidencias a nivel de endpoint.

- Utilizar una solución de seguridad corporativa que detecte de forma temprana amenazas avanzadas a nivel de red.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos