Descubren diversos grupos APT que atacan objetivos en Asia, África y Oriente Medio

Recomendados:  Foro Administración Digital 2021 Evento Aplicaciones, ¿cómo desarrollo, entrego y gestiono mi software? Webinar

La firma de seguridad ha descubierto las actividades de un nuevo grupo APT, denominado BackdoorDiplomacy, que estaría atacando los Ministerios de Asuntos Exteriores de diferentes países de Oriente Medio y África, así como varias empresas de telecomunicaciones.

Los ataques de este grupo se inician a partir de aplicaciones o servidores web vulnerables en los que se instala una backdoor personalizada, que Eset ha denominado Turian. BackdoorDiplomacy puede detectar unidades extraíbles, sobre todo USB, y copiar sus contenidos en la papelera de reciclaje de la unidad principal.

Las víctimas de BackdoorDiplomacy son Ministerios de Asuntos Exteriores de varios países africanos pero también de Europa, Oriente Medio y Asia. En África también se han descubierto ataques contra algunas compañías de telecomunicaciones, y en Oriente Medio contra una ONG. En todos los casos, los operadores emplearon tácticas, técnicas y procedimientos similares, pero modificando las herramientas, incluso entre países cercanos, con el objetivo de evitar la detección.

Por otro lado, leva analizando desde mediados del año pasado diferentes campañas que han sido atribuidas finalmente a Gelsemium, un grupo de ciberespionaje que parece llevar operando al menos desde 2014 con su malware Gelsevirine. Durante la investigación, los expertos de Eset encontraron precisamente una nueva versión de Gelsevirine, una backdoor compleja y modular. Las víctimas de esta campaña se sitúan en Asia oriental y en Oriente Medio, e incluyen tanto gobiernos como organizaciones religiosas, universidades y fabricantes de dispositivos electrónicos. El grupo ha conseguido operar sin ser detectado hasta ahora.

Gelsemium realiza ataques muy dirigidos; de hecho, según la telemetría de Eset, solo ha afectado a unas pocas víctimas, pero, teniendo en cuenta sus capacidades, todo apunta a que su objetivo principal es el ciberespionaje, ya que trabaja con un importante número de componentes adaptables. “La cadena completa de infección de Gelsemium parece simple a primera vista, pero puede configurarse de multitud de formas en cada etapa, incluso sobre la marcha en el propio payload final, lo que lo convierte en difícil de entender”, explica el investigador de la compañía Thomas Dupuy, coautor del análisis sobre Gelsemium.