Descubren ciberataques contra la minoría ética de los Uyghurs que suplantan a la ONU

  • Actualidad

Los equipos de Inteligencia de Amenazas de Check Point (CPR) y el equipo de investigación y análisis global de Kaspersky (GReAT) han descubierto una serie de ciberataques dirigidos a Uyghurs, un grupo étnico de origen turco establecido en Xinjiang, un territorio de China y Pakistán. Los ciberdelincuentes están enviando documentos maliciosos que imitan la identidad de la ONU.

Recomendados: 

Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar

7 consejos para proteger los datos de tu empresa y vencer al ransomware Leer

Anatomía del ataque a una cuenta privilegiada Leer

En estos ciberataques, los ciberdelincuentes están enviando documentos maliciosos bajo la apariencia de la Organización de las Naciones Unidas  haciéndose pasar por una falsa fundación de Derechos Humanos, denominada "Turkic Culture and Heritage Foundation", para intentar que las víctimas se instalen una puerta de entrada (backdoor) en el software de Windows que tiene como objetivo ejecutarse en sus ordenadores para espiarles.

Los ciberdelincuentes han llegado a disfrazar sus ataques de dos formas diferentes. Por un lado, realizando documentos en los que aparentaban ser la propia ONU, utilizando para ello información real de esta organización para que parecieran auténticos. Y, por otro lado, también crearon páginas web a nombre de empresas inexistentes que decían financiar grupos de beneficencia.

Infecciones iniciales
Las investigaciones comenzaron a raíz de un documento malicioso encontrado en el servicio gratuito de escaneo de malware VirusTotal llamado "UgyhurApplicationList.docx" que llevaba el logotipo del Consejo de Derechos Humanos de las Naciones Unidas (UNHRC), y que tenía información de una asamblea general de la ONU en la que se discutían las violaciones de los Derechos Humanos, lo que conseguía que el documento pareciera auténtico.

Su funcionamiento es sencillo: una vez que el usuario abre el documento haciendo clic en "habilitar edición", se descarga una plantilla externa maliciosa que contiene un macrocódigo, que descodifica un backdoor incrustado. Tras la descodificación del backdoor, se le daba el nombre de "OfficeUpdate.exe" y se guardaba en el directorio %TEMP%.

En los dos ejemplos de "OfficeUpdate.exe" que los investigadores localizaron, la carga útil era un instalador de shellcode que utiliza técnicas básicas de evasión y antidepuración mediante funciones como sleep y QueryPerformanceCounter.

Página web falsa
Un análisis más detallado del documento anterior llevó a los expertos a descubrir un sitio web relacionado con una fundación falsa que intentaba dirigirse a los Uyghures que deseaban solicitar una subvención. Los ciberdelincuentes crearon una fundación de Derechos Humanos llamada TCAHF, que significa "Turkic Culture and Heritage Foundation" en la que alegaban que la empresa financiaba y apoyaban a grupos que trabajan en favor de la cultura turca y sus Derechos Humanos. Sin embargo, la mayor parte del contenido de la web estaba copiado de una página web legítima con la url "opensocietyfoundations.org".

Según informe Check Point, la funcionalidad maliciosa de la web de TCAHF está bien disfrazada, y sólo aparece cuando la víctima intenta solicitar una subvención. Una vez se pide la ayuda, el sitio web alega que debe asegurarse de que el sistema operativo es seguro antes de incluir los datos confidenciales para la transacción, por lo que pide a los damnificados que descarguen un programa para escanear sus sistemas. Dicha web ofrece dos opciones de descarga, una para MacOS y otra para Windows.

Los investigadores consideran que esta campaña tiene como objetivo a la minoría Uyghur o las empresas que la apoyan. La telemetría de Check Point Research y Kaspersky Lab ha apoyado esta evaluación, ya que sólo se han identificado un puñado de víctimas en Pakistán y China y, en ambos casos, las víctimas se encontraban en regiones mayoritariamente pobladas por la minoría Uyghur.

Aunque no se han podido encontrar similitudes de código o infraestructura con ningún grupo de amenazas conocido, esta actividad se atribuye, con una confianza baja a media, a un ciberdelincuente de habla china. Al examinar las fuentes maliciosas en el documento de entrega, los investigadores observaron que algunos fragmentos del código eran idénticos al código VBA que aparecía en varios foros chinos, y podrían haber sido copiados directamente de ellos.

Según Eusebio Nieva, director técnico de Check Point Software para España y Portugal, “estas amenazas están diseñadas para obtener una huella digital de los dispositivos infectados, incluyendo todos sus programas en ejecución. Estos ataques están en curso, y se está creando una nueva infraestructura para mantenerlos en el futuro".