Los exploits zero day siguen siendo una vía de ataque efectiva para los grupos de APT

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer

Los actores de amenazas persistentes avanzadas (APT) están cambiando continuamente sus tácticas, actualizando sus conjuntos de herramientas y lanzando nuevas oleadas de actividad. Concretamente, en los últimos tres meses, las principales oleadas de actividad de APT han sido impulsadas por ataques a la cadena de suministro y exploits de día cero, según el informe APT Q1 de Kaspersky.

La primera oleada de APT fue impulsada por el compromiso de SolarWinds, en el que el software de TI Orion se vio comprometido. Esto llevó a que se instalara una puerta trasera personalizada conocida como Sunburst en las redes de más de 18.000 clientes. Muchos de ellos incluían grandes corporaciones y organismos gubernamentales en Norteamérica, Europa, Oriente Medio y Asia. Tras un examen más detallado de la puerta trasera, los investigadores de Kaspersky observaron similitudes con la puerta trasera identificada como Kazuar, detectada por primera vez en 2017 y vinculada al grupo de APT Turla. Esto sugiere que los atacantes detrás de Kazuar y Sunburst podrían estar vinculados de alguna manera.

La segunda oleada de actividad APT fue impulsada por exploits de día cero ahora parcheados en Microsoft Exchange Server. A principios de marzo, un nuevo actor de APT conocido como HAFNIUM fue visto aprovechando estos exploits para lanzar una serie de "ataques limitados y dirigidos". Durante la primera semana de marzo unos 1.400 servidores únicos fueron explotados, la mayoría en Europa y Estados Unidos. Dado que algunos servidores fueron atacados varias veces, parece ser que varios grupos están utilizando las vulnerabilidades. De hecho, a mediados de marzo, Kaspersky descubrió otra campaña utilizando estos mismos exploits dirigidos a Rusia. Esta campaña mostró algunos vínculos con HAFNIUM, así como con clústeres de actividad conocidos anteriormente que Kaspersky ha estado investigando.

También se detectó actividad APT del grupo Lazarus, que también utiliza exploits de día cero. Esta vez, el grupo utilizó la ingeniería social para convencer a los investigadores de seguridad de descargar un archivo de Visual Studio comprometido o atraer a las víctimas a su blog, después de lo cual instaló un exploit de Chrome. La primera ola ocurrió en enero y la segunda en marzo, que se unió a una nueva ola de perfiles falsos en las redes sociales y una empresa falsa para engañar eficazmente a las víctimas. Tras un examen más detallado, los investigadores de Kaspersky señalaron que el malware utilizado en la campaña coincidía con ThreatNeedle.

"Tal vez lo más destacable del último trimestre es lo destructivos que pueden ser los ataques de cadena de suministro exitosos. Probablemente pasarán varios meses más antes de que se entienda completamente el alcance completo del ataque de SolarWinds. La buena noticia es que toda la comunidad de seguridad está hablando ahora de este tipo de ataques y de lo que podemos hacer al respecto. Los tres primeros meses también nos han recordado la importancia de parchear los dispositivos lo antes posible. El exploits de día cero seguirán siendo una forma altamente efectiva y común para que los grupos APT comprometan a sus víctimas, incluso de maneras sorprendentemente creativas, como lo demuestra la reciente campaña de Lazarus ", comenta Ariel Jungheit, investigador principal de seguridad de GReAT.