Especialistas en ciberseguridad de «Kaspersky Lab» informan sobre una nueva serie de ciberataques dirigidos a decenas de ordenadores de organizaciones estatales rusas y empresas de TI. En esta campaña de hacking, denominada East Wind, ha aparecido malware de dos grandes grupos de habla china diferentes: APT27 y APT31.
A finales de julio de 2024, detectamos una serie activa de ciberataques dirigidos a decenas de ordenadores de organizaciones estatales rusas y empresas de TI. Durante estos ataques, los atacantes infectaron los dispositivos mediante correos electrónicos de phishing con archivos adjuntos que contenían archivos de acceso directo maliciosos. Al hacer clic en los accesos directos, se instalaba malware que posteriormente recibía comandos a través del almacenamiento en la nube de Dropbox. Con la ayuda de este software, los atacantes cargaron troyanos adicionales en los ordenadores infectados, en particular herramientas utilizadas por el grupo cibernético APT31, así como un backdoor actualizado [programa malicioso diseñado para el control remoto oculto por parte de un atacante de un ordenador afectado, — nota del editor] CloudSorcerer.
[...] En los ataques se utiliza un implante previamente desconocido con la funcionalidad de un backdoor clásico, que hemos denominado PlugY. Se carga a través del backdoor CloudSorcerer, tiene un amplio conjunto de comandos y admite tres protocolos diferentes de comunicación con el centro de mando. Además, su código es similar al código del backdoor DRBControl (también conocido como Clambling), que varias empresas de seguridad informática atribuyen al grupo APT27.
Para enmascarar el tráfico malicioso, los hackers utilizan como servidores de mando servicios de red populares: GitHub, Dropbox, Quora, así como los rusos «LiveJournal» y «Yandex Disk».
Detectarlos no es fácil: cada uno de los elementos-troyanos requiere un conjunto separado de indicadores de compromiso. En particular:
- para detectar el funcionamiento de un backdoor distribuido por correo electrónico y que utiliza Dropbox para interactuar con los atacantes, se puede realizar una búsqueda de archivos DLL comparativamente grandes (más de 5 MB) ubicados dentro del directorio C:\\Users\\Public. El funcionamiento de este backdoor también puede evidenciarse por el acceso regular a la nube de Dropbox en el tráfico de red;
- el troyano GrewApacha del grupo APT31 puede detectarse buscando un archivo no firmado con el nombre msedgeupdate.dll en el sistema de archivos. El tamaño de este archivo también es de varios megabytes;
- el implante PlugY, entregado con la ayuda del backdoor CloudSorcerer, durante su funcionamiento inicia un proceso con el nombre msiexec.exe para cada usuario que ha iniciado sesión en el sistema, y también crea canales con nombre con el patrón de nombre \\.\\PIPE\\Y<número>. La presencia de estos dos indicadores en el sistema con un alto grado de certeza indica una infección.
En general, los especialistas en ciberseguridad aconsejan utilizar para sus empresas y estructuras soluciones de protección de fuentes oficiales, actualizarlas regularmente, así como capacitar a los empleados en ciberseguridad básica para que ignoren los correos electrónicos de phishing, los enlaces sospechosos y los archivos.
Leer materiales sobre el tema:
La rusa Fplus ha creado el primer criptocierre para la gestión segura de servidores
