Nuevo ataque cibernético APT29 dirigido a diplomáticos y agencias gubernamentales: Mandiant
Los analistas de amenazas en la firma de ciberseguridad Mandiant han descubierto un nuevo ataque cibernético APT29, una vez más dirigido a diplomáticos y agencias gubernamentales.
![Nuevo ataque cibernético APT29 dirigido a diplomáticos y agencias gubernamentales: Mandiant - Video](https://i.ytimg.com/vi/UOiJ3yBJl6Q/hqdefault.jpg)
Un Grupo de Espionaje Cibernético Peligroso
APT29 es un grupo de espionaje cibernético ampliamente creído que es patrocinado por el Servicio de Inteligencia Exterior Ruso, el SVR. Microsoft también se refiere públicamente a APT29 como Nobelium, según Mandiant. APT29 es el mismo grupo responsable del ataque de cadena de suministro SolarWinds en 2021.
El Uso de Nuevas Familias de Malware
Aunque Mandiant ha estado monitoreando las actividades de phishing de APT29 dirigidas a diplomáticos en todo el mundo desde principios de 2020, los atacantes de este año están utilizando dos nuevas familias de malware: BEATDROP, BEACON y BOOMMIC para llevar a cabo los ataques. El malware de APT29 utiliza la popular herramienta de gestión de proyectos de Atlassian, Trello, para el control de comando y control (C2), almacenando información de las víctimas y recuperando cargas de shellcode AES encriptadas.
La Importancia de la Ciberseguridad en la Política
"Para cualquier persona involucrada en política, es fundamental comprender que pueden ser objetivo debido a la información que poseen o incluso solo a los contactos que puedan tener", dijo Erich Kron, defensor de la conciencia de seguridad en la firma de capacitación en ciberseguridad KnowBe4. "En situaciones como las embajadas, que actúan como suelo soberano en países extranjeros, y para los diplomáticos dentro de ellas, la información sobre las actividades que ocurren en la región sería un tesoro para los adversarios.".
Los Métodos Utilizados por APT29
Para engañar a las víctimas y hacer que descarguen archivos con malware, APT29 envió correos electrónicos de spear-phishing disfrazados como actualizaciones administrativas de embajadas, según Manidant en una publicación de blog sobre los ataques. Para evitar los filtros de spam, APT29 utilizó direcciones de correo electrónico legítimas de otras entidades diplomáticas y se dirigió a grandes listas públicas disponibles de personal de las embajadas.
Los correos electrónicos utilizaron el dropper HTML malicioso ROOTSAW (también conocido como EnvyScout) para entregar y decodificar archivos IMG o ISO, ambos de los cuales pueden escribirse en el disco y ejecutar un archivo DLL malicioso que contiene el descargador BEATDROP. APT29 también está utilizando el descargador BEACON para propósitos similares.
![](https://newsmatic.com.ar/wp-content/uploads/proteccion-antivirus-en-linea-mcafee-clinic-lleva-la-seguridad-de-tu-pc-al-siguiente-nivel-150x150.jpg)
El Acceso y la Persistencia de los Atacantes
Una vez que BEATDROP o BEACON abren puertas traseras a la red de la víctima, rápidamente despliegan BOOMMIC para obtener un acceso más profundo al entorno de la víctima. BOOMMIC (también llamado VaporRage por Microsoft) es un descargador de shellcode que se comunica mediante HTTP con un servidor C2. Una vez activado, su principal tarea es descargar cargas de shellcode en la memoria de una máquina objetivo, según Mandiant.
BEACON es una herramienta multipropósito que también captura pulsaciones de teclas y capturas de pantalla y puede actuar como un servidor proxy. También puede recopilar credenciales del sistema, realizar escaneos de puertos y enumerar sistemas en una red.
La Importancia de la Seguridad Cibernética
Una vez dentro de la red, los atacantes pueden elevar privilegios y moverse lateralmente en cuestión de horas utilizando tickets de Kerberos en ataques "Pass the Ticket", aprovechando plantillas de certificados mal configuradas para hacerse pasar por administradores y creando certificados maliciosos para elevarse directamente desde privilegios de nivel bajo a estatus de administrador de dominio. Los certificados maliciosos también pueden dar al atacante una persistencia a largo plazo en el entorno de la víctima. APT29 realiza una extensa labor de reconocimiento de hosts y del entorno de Active Directory en busca de credenciales, según Mandiant.
"Esta campaña destaca la importancia de implementar una cultura de ciberseguridad que vaya más allá de depender únicamente de los controles preventivos de primera línea", dijo Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel. "Controles como la segmentación de redes, el endurecimiento proactivo de sistemas y aplicaciones, y la restricción del acceso de los usuarios solo a lo que es necesario para sus funciones laborales, dificultan en gran medida el trabajo de los atacantes. La monitorización detallada de actividades sospechosas y la búsqueda de amenazas también aumentan las posibilidades de detectar rápidamente al atacante y erradicarlo antes de que se produzcan daños generalizados".
![](https://newsmatic.com.ar/wp-content/uploads/como-proteger-tu-computadora-de-los-virus-metodos-y-consejos-150x150.jpg)
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Nuevo ataque cibernético APT29 dirigido a diplomáticos y agencias gubernamentales: Mandiant , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados