Nuevo ataque cibernético APT29 dirigido a diplomáticos y agencias gubernamentales: Mandiant

Los analistas de amenazas en la firma de ciberseguridad Mandiant han descubierto un nuevo ataque cibernético APT29, una vez más dirigido a diplomáticos y agencias gubernamentales.

Índice de Contenido
  1. Un Grupo de Espionaje Cibernético Peligroso
  2. El Uso de Nuevas Familias de Malware
  3. La Importancia de la Ciberseguridad en la Política
  4. Los Métodos Utilizados por APT29
  5. El Acceso y la Persistencia de los Atacantes
  6. La Importancia de la Seguridad Cibernética

Un Grupo de Espionaje Cibernético Peligroso

APT29 es un grupo de espionaje cibernético ampliamente creído que es patrocinado por el Servicio de Inteligencia Exterior Ruso, el SVR. Microsoft también se refiere públicamente a APT29 como Nobelium, según Mandiant. APT29 es el mismo grupo responsable del ataque de cadena de suministro SolarWinds en 2021.

El Uso de Nuevas Familias de Malware

Aunque Mandiant ha estado monitoreando las actividades de phishing de APT29 dirigidas a diplomáticos en todo el mundo desde principios de 2020, los atacantes de este año están utilizando dos nuevas familias de malware: BEATDROP, BEACON y BOOMMIC para llevar a cabo los ataques. El malware de APT29 utiliza la popular herramienta de gestión de proyectos de Atlassian, Trello, para el control de comando y control (C2), almacenando información de las víctimas y recuperando cargas de shellcode AES encriptadas.

La Importancia de la Ciberseguridad en la Política

"Para cualquier persona involucrada en política, es fundamental comprender que pueden ser objetivo debido a la información que poseen o incluso solo a los contactos que puedan tener", dijo Erich Kron, defensor de la conciencia de seguridad en la firma de capacitación en ciberseguridad KnowBe4. "En situaciones como las embajadas, que actúan como suelo soberano en países extranjeros, y para los diplomáticos dentro de ellas, la información sobre las actividades que ocurren en la región sería un tesoro para los adversarios.".

Los Métodos Utilizados por APT29

Para engañar a las víctimas y hacer que descarguen archivos con malware, APT29 envió correos electrónicos de spear-phishing disfrazados como actualizaciones administrativas de embajadas, según Manidant en una publicación de blog sobre los ataques. Para evitar los filtros de spam, APT29 utilizó direcciones de correo electrónico legítimas de otras entidades diplomáticas y se dirigió a grandes listas públicas disponibles de personal de las embajadas.

Los correos electrónicos utilizaron el dropper HTML malicioso ROOTSAW (también conocido como EnvyScout) para entregar y decodificar archivos IMG o ISO, ambos de los cuales pueden escribirse en el disco y ejecutar un archivo DLL malicioso que contiene el descargador BEATDROP. APT29 también está utilizando el descargador BEACON para propósitos similares.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El Acceso y la Persistencia de los Atacantes

Una vez que BEATDROP o BEACON abren puertas traseras a la red de la víctima, rápidamente despliegan BOOMMIC para obtener un acceso más profundo al entorno de la víctima. BOOMMIC (también llamado VaporRage por Microsoft) es un descargador de shellcode que se comunica mediante HTTP con un servidor C2. Una vez activado, su principal tarea es descargar cargas de shellcode en la memoria de una máquina objetivo, según Mandiant.

BEACON es una herramienta multipropósito que también captura pulsaciones de teclas y capturas de pantalla y puede actuar como un servidor proxy. También puede recopilar credenciales del sistema, realizar escaneos de puertos y enumerar sistemas en una red.

La Importancia de la Seguridad Cibernética

Una vez dentro de la red, los atacantes pueden elevar privilegios y moverse lateralmente en cuestión de horas utilizando tickets de Kerberos en ataques "Pass the Ticket", aprovechando plantillas de certificados mal configuradas para hacerse pasar por administradores y creando certificados maliciosos para elevarse directamente desde privilegios de nivel bajo a estatus de administrador de dominio. Los certificados maliciosos también pueden dar al atacante una persistencia a largo plazo en el entorno de la víctima. APT29 realiza una extensa labor de reconocimiento de hosts y del entorno de Active Directory en busca de credenciales, según Mandiant.

"Esta campaña destaca la importancia de implementar una cultura de ciberseguridad que vaya más allá de depender únicamente de los controles preventivos de primera línea", dijo Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel. "Controles como la segmentación de redes, el endurecimiento proactivo de sistemas y aplicaciones, y la restricción del acceso de los usuarios solo a lo que es necesario para sus funciones laborales, dificultan en gran medida el trabajo de los atacantes. La monitorización detallada de actividades sospechosas y la búsqueda de amenazas también aumentan las posibilidades de detectar rápidamente al atacante y erradicarlo antes de que se produzcan daños generalizados".

Cómo proteger tu computadora de los virus: métodos y consejos

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo ataque cibernético APT29 dirigido a diplomáticos y agencias gubernamentales: Mandiant , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.