Los autores de APT diversifican sus herramientas de ataque

La actividad de las amenazas persistentes avanzada (APT) en el tercer trimestre indica un aumento en el uso y la cantidad de sets de herramientas maliciosas nuevas y previamente desconocidas. Esta es una señal del éxodo constante de los actores de amenaza a aguas más profundas para evadir la detección. Estas y otras tendencias de APT en todo el mundo están cubiertas en el último resumen trimestral de inteligencia de amenazas de Kaspersky.

También te puede interesar... Formación y concienciación para mejorar la seguridad Especial Ciberseguridad Industrial Especial Cloud

Los investigadores de Kaspersky observaron una tendencia a la diversificación de las herramientas de las APT en todo el mundo. Los cambios más significativos fueron realizados por:

--Turla (también conocido como Venomous Bear, Uroburos y Waterbug) ha realizado cambios significativos en su conjunto de herramientas. Mientras investigaba actividades maliciosas en Asia Central, Kaspersky identificó un nuevo backdoor que se atribuyó a este grupo de APT. El malware "Tunnus" es una puerta trasera basada en .NET con la capacidad de ejecutar comandos o realizar acciones de archivo en un sistema infectado y enviar los resultados a sus servidores de comando y control. Hasta ahora, la infraestructura se ha construido utilizando sitios comprometidos con instalaciones vulnerables de Wordpress. Según la telemetría de la compañía, la actividad de Tunnus comenzó en marzo y se mantuvo activa.

Turla también ha envuelto su famoso malware JavaScript KopiLuwak en un nuevo dropper llamado "Topinambour". Es un nuevo archivo .NET que el grupo está utilizando para distribuir KopiLuwak a través de paquetes de instalación infectados para programas de software legítimos como VPN.

-- HoneyMyte (también conocido como Temp.Hex y Mustang Panda) ha adoptado diferentes técnicas para realizar sus ataques en los últimos años a entidades gubernamentales en Myanmar, Mongolia, Etiopía, Vietnam y Bangladesh. Los ataques del actor se basaron en un número diversificado de herramientas. Es posible que una de las principales motivaciones de HoneyMyte sea reunir inteligencia geopolítica y económica.

“Tal como predecimos el año pasado, en su afán por evadir la detección, los actores de amenazas actualizan sus herramientas y se sumergen en aguas profundas. Este trimestre, hemos visto esto en los desarrollos de varios actores y campañas de APT en todo el mundo. Este es un desafío para los investigadores: cuando se observa una nueva campaña, no siempre está claro de inmediato si las herramientas utilizadas son el resultado de un actor de amenazas establecido que renueva sus herramientas, o un actor de amenazas completamente nuevo que hace uso de las herramientas desarrolladas por un grupo APT existente. De ahí la importancia de invertir en la inteligencia de amenazas. El conocimiento es poder, y solo se puede saber de dónde puede venir el peligro informándose de antemano”, afirma Vicente Díaz, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.