Archivo de la etiqueta: APT

Siguiendo la continua evolución del célebre grupo APT Pawn Storm

Trend Micro se dedica a proteger el mundo conectado, y a todos sus clientes en todos los rincones del planeta. Para ayudarnos en esta tarea, contamos con un equipo de más de 1.200 investigadores white hat dedicados a trabajar las 24 horas del día para anticipar e investigar las últimas ciberamenazas emergentes. Muchos de los grupos responsables de estas son bandas criminales. Pero cada vez más, pueden ser también hackers apoyados por el estado. Esto puede sonar muy lejos de la cotidianeidad del día a día de la empresa española media. Pero ese no es necesariamente el caso. 

Los sofisticados grupos de Amenazas Persistentes Avanzadas (APT) no siempre tienen como objetivo las grandes marcas o los sectores militares y de infraestructura crítica. Como destaca nuestra última investigación sobre el perverso grupo Pawn Storm, incluso van tras escuelas privadas, guarderías y médicos.

Breve historia de Pawn Storm

Las actividades de Pawn Storm se remontan a 2004, aunque hemos estado siguiendo al grupo de cerca durante los últimos seis años más o menos. También conocido por los apodos APT28, Sofacy, Sednit, Fancy Bear y Strontium, es uno de los grupos APT más destacados del mundo. Entre las víctimas notables del pasado se encuentran el partido de la Unión Demócrata Cristiana Alemana (CDU), la Agencia Mundial Antidopaje (AMA) y el Comité Nacional Democrático (DNC). Hillary Clinton ha culpado de los correos electrónicos confidenciales de este último que ayudaron a Donald Trump a llegar al poder. 

No se equivoquen, Pawn Storm es uno de los grupos de APT más sofisticados y con más recursos que hemos visto. Y gracias al seguimiento que hemos hecho de sus herramientas, tácticas y procedimientos (TTP), hemos podido detallar algunas nuevas tendencias en 2019.

¿Qué hay de nuevo?

Concretamente, vimos que el grupo decidió usar las cuentas de correo electrónico de objetivos de alto perfil que ya había comprometido para enviar correos electrónicos de phishing de credenciales a otros objetivos – principalmente a compañías de defensa de Oriente Medio. No está claro por qué lo hicieron, tal vez para evadir los filtros de spam, y no parece haber sido particularmente exitoso.

También observamos a Pawn Storm escudriñando servidores de correo electrónico y servidores Microsoft Exchange Autodiscover en todo el mundo, con el fin de forzar bruscamente las credenciales de los administradores, exfiltrando los datos de los correos electrónicos y utilizándolos para realizar phishing a una nueva oleada de objetivos. Curiosamente, sus objetivos para esta campaña no eran solo los sospechosos habituales de organizaciones militares y de defensa, gobiernos, bufetes de abogados, partidos políticos y universidades, sino también otros más inusuales como escuelas privadas en Francia y Reino Unido, e incluso una guardería en Alemania.

Esto es un testimonio del hecho de que ninguna organización está a salvo de los ataques APT hoy en día.

La buena noticia es que los tipos malos cometen errores que podemos utilizar para entender mejor sus métodos y motivaciones. Por ejemplo, pudimos rastrear las campañas de phishing de credenciales contra dos proveedores de correo web de EE.UU., uno ruso y otro iraní durante un período de dos años analizando la solicitud del Marco de Políticas de Remitente de DNS (SPF) de los dominios que utilizaba. Aunque el grupo asignó cinco dominios a los servidores utilizados en esta campaña, no los registró, lo que permitió a los investigadores de Trend Micro colarse sigilosamente y monitorizar la actividad.

Mantenerse a salvo

Predecimos que este grupo de amenazas en particular estará presente en los años próximos años. Y es solo uno de los muchos que operan hoy en día. A continuación ofrecemos algunas recomendaciones para aislar a su organización contra estos últimos ataques. Incluso si no es un objetivo de Pawn Storm, estas son una serie de buenas prácticas importantes a tener en cuenta:

  • Aplicar el principio de menores privilegios, y deshabilitar los servicios obsoletos o no utilizados
  • Parchear regularmente/actualizar el sistema operativo y las aplicaciones. Considere la posibilidad de aplicar parches virtuales para las vulnerabilidades conocidas y desconocidas
  • Monitorizar regularmente la infraestructura con firewalls y sistemas de detección y prevención de intrusiones
  • Desplegar autenticación de doble factor para las cuentas de correo electrónico corporativo, el acceso de red y los servicios subcontratados
  • Formar y concienciar a los empleados en materia de técnicas de phishing y vectores de ataque más comunes, y prohibir el uso del correo web personal y las cuentas de redes sociales para fines laborales
  • Realizar con frecuencia copias de seguridad de los datos y cifrar la información sensible almacenada

Para leer el informe completo, haga clic aquí

Combatiendo a Flame

Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones de Trend Micro EMEA

 

Trabajo de cerca con los equipos de Marketing y Prensa de Trend Micro y sé que cada vez que existe una parte importante de una investigación, o se tiene una pieza relevante en la misma, surge la pregunta: “¿Podemos decir que es la primera y más grande, lo peor, etc?”. En la mayor parte de las ocasiones la respuesta es “No”, de hecho, sólo puedo pensar en una excepción en los últimos años.

Estoy seguro de que la situación es similar en el caso de otros proveedores de seguridad globales, pero parece que algunos son menos estoicos en su resistencia a la tentación de un titular. Eugene Kaspersky, que perecía disfrutar cuando le llamaron “glorious global megatroll” la semana pasada, es, sin duda, conocido por fomentar la controversia.

 

La semana pasada, la noticia comenzó con una pieza compleja de software malicioso también conocido como Flame/Flamer/SkyWiper que fue inmediatamente promocionado como el malware más sofisticado. La Unión Internacional de Telecomunicaciones (UIT) en la ONU dio a conocer lo que ellos describen como «la advertencia más seria que jamás hemos lanzado«, (aunque al parecer no lo suficientemente grave como para ofrecerlo en su página web). Esta afirmación fue corroborada por declaraciones de que Flame es «20 veces más compleja [que Stuxnet]. Nos llevará 10 años comprender completamente todo», un indicador superior que me parece un tanto inestable o poco firme. Symantec incluso lo ha comparado con «un arma atómica«.

Ayer, al hablar con un periodista, la primera pregunta que me hizo fue “¿Qué hace que esta amenaza sea única?”, y honestamente me fue difícil encontrar una respuesta con la que sentirme cómodo. Eso, combinado con el revuelo con el que me he despertado esta mañana, provocó que me viera obligado a escribir este post.

 

Las funcionalidades y características de las que se informan sobre Flame hacen referencia a temas como su preciso enfoque geográfico, la naturaleza modular del código (diferentes módulos funcionales pueden ser «conectados» a un dispositivo infectado en caso necesario, su capacidad para utilizar hardware local como micrófonos, pulsaciones de teclado o la grabación de la actividad de la pantalla. ¡El hecho de que éstas se centren en Oriente Medio y que utilicen una vulnerabilidad de ejecución automática específica son motivos aparentemente suficientes para justificar la relación entre Flame y Stuxnet!

 

Los ataques de espionaje dirigidos a zonas geográficas específicas o a sectores industriales concretos no son nada nuevo, ahí están los ejemplos de LuckyCat, IXESHE o cualquiera de los cientos que recientemente se han registrado. La arquitectura modular del malware ha sido durante muchos años, junto con los desarrolladores que ofrecen módulos escritos a medida de las especificaciones del cliente, los requisitos sobre los que se asientan herramientas tales como Zeus o SpyEye; Carberp es otro gran ejemplo de troyano modular que roba información. De hecho, recientemente ya se ha encontrado una variante de SpyEye que utilizaba hardware local como cámaras y micrófonos para grabar a la víctima, al igual que Flamer y al igual que DarkComet RAT. Infraestructuras de distribución maliciosas, tales como Smoke Malware Loader  prometen cargas secuenciales de archivos ejecutables y orientados geográficamente (entre otras muchas cosas). La clave de registro no es, por supuesto, nada nuevo y no está llevando a cabo la captura de tráfico de red o la extracción de información robada. La complejidad del código tampoco es nada nuevo, basta con echar un vistazo a TDL4, considerar la rápida adopción de Conficker de MD6 o sus tácticas de generación de dominio.

 

Entonces, ¿qué nos queda? Una gran pieza de código (de hasta 20 MB), que es único en términos de malware, sin duda, pero no es impresionante en sí mismo. El malware utiliza Lua, que es único en términos de malware, supongo, pero no es algo que eleve el riesgo inherente. Flame tiene la función de Bluetooth, aunque…

 

Curiosamente, justo antes de las noticias sobre Flame golpearan los cables, la UIT en la ONU lanzó un comunicado de prensa anunciando que un fabricante de seguridad se había unido a su evento Telecom World 2012, increíble ¡qué oportuno!, ¿no?

 

Si desea ampliar esta información, visite:

http://countermeasures.trendmicro.eu/fighting-the-flames/

Luckycat Redux. Más de 90 ataques descubiertos en una campaña de Amenazas Persistentes Avanzadas (APT)

Trend Micro acaba de publicar un documento titulado “Luckycat Redux”, centrado en el análisis de las actividades de la campaña Luckycat. Esta campaña fue descubierta y documentada por primera vez a principios de este mes por nuestros compañeros de Symantec. La investigación realizada por Trend Micro ha mejorado de forma significativa el conocimiento de este tipo de amenazas (APTs), no sólo sobre este ataque en concreto, sino también sobre la forma en que los ataques dirigidos se despliegan. A continuación se incluyen algunos de los principales resultados encontrados por Trend Micro:

Infographic global targets

  • Para entender los ataques dirigidos, se debe de pensar en ellos como en campañas. Los ataques, que pueden estar relacionados mediante una monitorización y análisis cuidadoso, son sólo una parte de toda la campaña. Este enfoque produce mucha más información útil acerca de estos ataques. La idea de las campañas y el seguimiento de las mismas es vital para desarrollar una comprensión  de estas amenazas lo que nos permite proteger mejor a los usuarios y las redes.

 

  • Cada campaña se centra en unos objetivos más diversos de lo que se pensaba con anterioridad. Luckycat no sólo atacó la investigación militar en la India, tal y como difundió Symantec, sino que también se dirigieron ataques contra organizaciones importantes en Japón, India, así como contra los activistas tibetanos. En estas campañas se emplea también diferentes infraestructura de redes: desde sites de alojamientos gratuitos de usar y tirar hasta servidores privados virtuales dedicados.

 

  • Luckycat está relacionada también con otras campañas. Los individuos que están detrás de esta campaña utilizan u ofrecen infraestructura para otras operaciones de malware que han estado también relacionadas con otros ataques dirigidos cometidos con anterioridad, como el ya conocido Shadow Network, que aún sigue activo. Asimismo, han utilizado malware de segundo nivel en sus ataques. Desde Trend Micro hemos seguido al menos 90 ataques que forman parte de esta campaña.

 

  • Una minuciosa monitorización nos ha permitido aprovechar algunos errores cometidos por los atacantes y nos dan una idea de sus identidades y capacidades. Hemos podido obtener una visión interna de algunas de las capacidades operacionales, incluyendo el uso de tecnología de anonimidad para evitar ser detectados. Además, se ha logrado realizar un seguimiento de algunos de los atacantes a través de sus direcciones QQ a un conocido foro de hackers chino, llamado Xfocus, así como a un instituto de seguridad de la información, también en China

 

Las personas interesadas en conocer el resto de los resultados encontrados tienen a su disposición el trabajo completo del equipo de investigación de Trend Micro sobre Luckycat para su descarga. Para conocer cómo Luckycat se compara respecto a otras amenazas conocidas, Trend Micro ha creado una infografía con referencias completas. Suficientemente motivados, quienes están detrás de las amenazas son capaces de penetrar incluso en las redes con avanzados sistemas de seguridad. Por ello, además de las herramientas de prevención estándar, las empresas deberían centrarse en detectar y mitigar los ataques y poner en marcha estrategias centradas en los datos. Tecnologías como Trend Micro Deep Discovery ofrecen la visibilidad, comprensión y control necesario sobre las redes para defenderlas contra las amenazas dirigidas.

Para descargar el documento de la investigación visite: http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_luckycat_redux.pdf Para descargar la infografía visite: http://blog.trendmicro.com/global-targets-infographic/