chinese hackers

Una mirada a los continuos esfuerzos de los piratas informáticos chinos para atacar a gobiernos extranjeros

Hackers chinos

El phishing sigue siendo una de las estrategias ampliamente utilizadas por los ciberdelincuentes y los grupos de espionaje para hacerse un hueco inicial en los sistemas objetivo.

Aunque piratear a alguien con ataques de phishing era fácil hace diez años, la evolución de las tecnologías de detección de amenazas y la conciencia cibernética entre las personas ha ralentizado el éxito de los ataques de phishing e ingeniería social a lo largo de los años.

Dado que el phishing es más una especie de oportunidad única para los piratas informáticos antes de que sus víctimas lo sospechen y es probable que nunca vuelvan a caer en el mismo truco, los grupos de piratas informáticos sofisticados han comenzado a dedicar mucho esfuerzo, tiempo e investigación para diseñar bien el phishing. campañas pensadas.

En una de estas últimas campañas descubiertas por los investigadores de ciberseguridad de Check Point, un grupo de hackers chinos conocido como Resentimiento, se encontró llevando a cabo ataques extensos y altamente selectivos contra entidades gubernamentales del sudeste asiático desde diciembre de 2018 hasta junio de 2019.

Copias de seguridad automáticas de GitHub

Lo interesante de esta campaña en curso de 7 meses es que durante este tiempo, el Grupo Rancor ha actualizado continuamente las tácticas, herramientas y procedimientos (TTP) de acuerdo con sus objetivos en un intento de procesar el contenido del correo electrónico de phishing y los documentos de retiro que parecen ser lo más convincente posible.

«Los ataques observados comenzaron con correos electrónicos enviados en nombre de empleados de varios departamentos gubernamentales, embajadas o entidades gubernamentales en un país del sudeste asiático», dice un relación publicado por CheckPoint y compartido en privado con The Hacker News antes de su lanzamiento.

«Los atacantes parecían decididos a lograr ciertos objetivos, ya que se enviaron docenas de correos electrónicos a empleados de los mismos ministerios. Además, el origen de los correos electrónicos probablemente se falsificó para que parezcan más confiables».

Tácticas, herramientas y procedimientos en constante evolución

Los investigadores descubrieron diferentes combinaciones de TTP en función de su tiempo, entrega, persistencia y carga útil, y luego las combinaron en 8 variantes principales, como se enumera a continuación en este artículo.

Cada variante del ataque comenzó con un correo electrónico de spear-phishing clásico que contenía un documento malicioso diseñado para ejecutar macros y explotar vulnerabilidades conocidas para instalar una puerta trasera en las computadoras de las víctimas y obtener acceso completo a los sistemas.

herramientas de pirateo

La mayoría de los documentos de entrega de esta campaña contenían temas legítimos relacionados con el gobierno, como instrucciones para los empleados del gobierno, cartas oficiales, comunicados de prensa, encuestas y más, aparentemente enviados por otros funcionarios del gobierno.

Curiosamente, como parte de la cadena de infección, en la mayoría de las campañas, los atacantes también traen sus propios ejecutables legítimos, firmados y confiables de los principales productos antivirus para cargar archivos DLL maliciosos (biblioteca de enlaces dinámicos) para evadir la detección, particularmente de productos de monitoreo de comportamiento.

hackear

Como se muestra en las ilustraciones anteriores, los ejecutables legítimos abusados ​​pertenecen a productos antivirus que incluyen un componente del antivirus Avast, el agente BitDefender y Windows Defender.

Prevenir ataques de ransomware

Aunque las cadenas de ataque involucran actividades sin archivos, como el uso de macros VBA, código PowerShell y herramientas legítimas de Windows, esta campaña no está diseñada para lograr un enfoque sin archivos, como dijeron los investigadores a The Hacker News que otras partes de la campaña exponen la actividad maliciosa al sistema de archivos.

«Hasta la fecha, no hemos visto un ataque tan persistente contra un gobierno; los mismos ataques han sido el objetivo durante 7 meses. Creemos que el gobierno de Estados Unidos debería tomar nota», advirtieron los investigadores a medida que se acercan las elecciones estadounidenses.

«Para atacar al gobierno de Estados Unidos, estos piratas informáticos chinos no necesitarían cambiar mucho, excepto para crear sus documentos existentes en inglés e incluir temas que atraigan el interés de la víctima para que la víctima abra el archivo».

El grupo de piratas informáticos Rancor se encontró anteriormente atacando a Camboya y Singapur y continuó sus operaciones contra entidades dentro de la región del sudeste asiático, y esta vez el grupo tomó 7 meses de esfuerzos para atacar la industria del gobierno del sudeste asiático.

«Esperamos que el grupo continúe evolucionando, cambiando constantemente sus TTP de la misma manera que observamos durante la campaña, además de impulsar sus esfuerzos para eludir los productos de seguridad y evitar la atribución», concluyen los investigadores.

Para obtener más información sobre el grupo Rancor y su última campaña, puede ir al informe de CheckPoint titulado «Rancor: el año del phish. «

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *