Ataques en la cadena de suministro y exploits de día cero, en el centro de la actividad APT en el primer trimestre

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar 7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer Anatomía del ataque a una cuenta privilegiada Leer

En los primeros tres primeros meses de 2021, la principal actividad de los agentes de Amenazas Persistentes Avanzadas se ha centrado en los ataques a la cadena de suministro y exploits de día cero. Así lo ha confirmado Kaspersky en su informe trimestral sobre el tema.

Los actores de amenazas APT cambian continuamente sus tácticas, perfeccionan sus herramientas y lanzan nuevas oleadas de actividad. En el primer trimestre del año, el equipo de Investigación y Análisis Global de Kaspersky (GReAT) ha detectado dos grandes oleadas. Por un lado, la derivada de la introducción de una puerta trasera (Sunburst) que comprometió el software para monitorización de infraestructuras Orion IT, de SolarWinds, que afectó a las redes de más de 18.000 clientes, muchos de ellos grandes empresas y organismos gubernamentales de Norteamérica, Europa, Oriente Medio y Asia.

Tras un examen más detallado, los investigadores de la firma encontraron similitudes entre esta puerta trasera con identificada como Kazuar, descubierta por primera vez en 2017 y vinculada presuntamente al grupo APT Turla. Esto sugiere que los atacantes detrás de Kazuar y Sunburst podrían estar relacionados de alguna forma.

La segunda oleada de actividad se originó por exploits de día cero, ya parcheados, en Microsoft Exchange Server. A principios de marzo, un nuevo actor de APT conocido como HAFNIUM fue descubierto aprovechando estos exploits para lanzar una serie de ataques limitados y dirigidos. Durante la primera semana de marzo, aproximadamente 1.400 servidores únicos fueron atacados, la mayoría en Europa y Estados Unidos. Algunos de ellos, incluso varias veces, lo que indica que fueron varios los grupos que estaban utilizando las vulnerabilidades. De hecho, a mediados de marzo, descubrimos otra campaña que usaba estos mismos exploits dirigidos a Rusia y que mostraba algunos vínculos con HAFNIUM, así como con grupos de actividad previamente conocidos que Kaspersky ha estado investigando.

Asimismo, se informó de un nuevo grupo de actividad del grupo APT Lazarus, que también utilizaba exploits de día cero. Esta vez, el grupo utilizó la ingeniería social para convencer a los investigadores de seguridad de que descargaran un archivo de proyecto de Visual Studio comprometido o para atraer a las víctimas a su blog, tras lo cual se instalaba un exploit de Chrome. Los señuelos solían girar en torno a los ataques de día cero y se orientaban a robar investigaciones sobre vulnerabilidades. La primera oleada se produjo en enero y la segunda en marzo, a la que se sumó una nueva de perfiles falsos en redes sociales y una empresa falsa para engañar eficazmente a las víctimas previstas.

En estos ataques Kaspersky observó que el malware utilizado en la campaña coincidía con ThreatNeedle, un backdoor desarrollado por Lazarus y visto recientemente dirigido a la industria de la defensa a mediados de 2020.

El informe también analiza otra interesante campaña de exploits de día cero, denominada TurtlePower, dirigida a entidades gubernamentales y de telecomunicaciones en Pakistán y China y que podría estar vinculada con el grupo BitterAPT. El origen de la vulnerabilidad, ahora parcheada, parece estar relacionado con "Moses", un broker que ha desarrollado al menos cinco exploits en los últimos dos años, algunos de los cuales han sido utilizados tanto por BitterAPT como por DarkHotel.