Inicio / Actualidad / El grupo chino de APT apunta a los sectores de medios, finanzas y electrónica

El grupo chino de APT apunta a los sectores de medios, finanzas y electrónica

Investigadores de ciberseguridad descubrieron el martes una nueva campaña de espionaje dirigida a los sectores de medios, construcción, ingeniería, electrónica y finanzas en Japón, Taiwán, Estados Unidos y China.

Al vincular los ataques con Palmerworm (también conocido como BlackTech), probablemente una amenaza persistente avanzada (APT) con sede en China, el equipo de cazadores de amenazas de Symantec dijo que la primera ola de actividad asociada con esta campaña comenzó el año pasado en agosto de 2019, aunque sus motivaciones finales aún no están claras. .

“Si bien no podemos ver lo que Palmerworm está exfiltrando de estas víctimas, el grupo se considera un grupo de espionaje y se considera que su motivación probable es robar información de las empresas objetivo”, dijo la firma de ciberseguridad.

Entre las múltiples víctimas infectadas por Palmerworm, las empresas de medios, electrónica y finanzas tenían su sede en Taiwán, mientras que una empresa de ingeniería en Japón y una empresa de construcción en China también fueron atacadas.

Además de utilizar malware personalizado para comprometer a las organizaciones, se dice que el grupo ha permanecido activo en la red de la empresa de medios taiwanesa durante un año, con signos de actividad observados en agosto de 2020, lo que podría implicar el continuo interés de China en Taiwán.

cyberattacks

Esta no es la primera vez que la banda BlackTech persigue negocios en el este de Asia. Un análisis de 2017 de Trend Micro descubrió que el grupo había orquestado tres campañas: PLEAD, Shrouded Crossbow y Waterbear, con la intención de robar documentos confidenciales y la propiedad intelectual del objetivo.

Al afirmar que algunas de las muestras de malware identificadas coincidían con PLEAD, los investigadores dijeron que identificaron cuatro puertas traseras previamente indocumentadas (Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit y Backdoor.Nomri), lo que indica que “pueden ser herramientas desarrolladas recientemente, o la evolución de las herramientas Palmerworm más antiguas “.

El nuevo conjunto de herramientas de malware personalizado por sí solo habría dificultado la atribución si no fuera por el uso de herramientas de doble uso (como Putty, PSExec, SNScan y WinRAR) y certificados de firma de código robados para firmar digitalmente sus cargas maliciosas y frustrar la detección, una táctica que se ha encontrado que emplea antes.

Otro detalle que no está muy claro es el vector de infección en sí, el método que ha utilizado Palmerworm para obtener acceso inicial a las redes de las víctimas. Sin embargo, el grupo ha aprovechado los correos electrónicos de spear-phishing en el pasado para entregar e instalar su puerta trasera, ya sea en forma de archivo adjunto o mediante enlaces a servicios de almacenamiento en la nube.

“Los grupos de APT continúan siendo muy activos en 2020, con el uso de herramientas de doble uso y tácticas de vida fuera de la tierra que hacen que su actividad sea cada vez más difícil de detectar y subraya la necesidad de que los clientes cuenten con una solución de seguridad integral. que puede detectar este tipo de actividad “, dijo Symantec.

Vea También

¿Qué sistema de videoconferencia es el más seguro?

Confinados en nuestros domicilios, trabajando a distancia o en la nueva normalidad que lleva a …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.