Los investigadores han expuesto una campaña de ciberespionaje en curso contra organizaciones industriales, de ingeniería y de fabricación.
El martes, el equipo de inteligencia de amenazas de CyberX Sección 52 dijo que la campaña, probablemente el trabajo de un grupo avanzado de amenazas persistentes (APT), hasta ahora ha reclamado al menos 200 empresas como víctimas.
Si bien la mayoría de las víctimas tiene su sede en Corea del Sur, las empresas de países como Japón, Indonesia, Turquía, Alemania, Ecuador y el Reino Unido se han visto afectadas.
Una víctima, aunque sin nombre, se describe como un «conglomerado coreano multimillonario que fabrica equipos de infraestructura crítica», mientras que otros han sido identificados en el sector del acero, la fabricación de productos químicos y la ingeniería.
La cadena de ataque comienza a través de correos electrónicos de phishing, una técnica muy común utilizada por los ciberatacantes en todo el mundo para tratar de establecerse en las redes corporativas. La APT envía mensajes que contienen archivos adjuntos de «temática industrial», según los investigadores, que incluyen documentos técnicos, esquemas de plantas de energía y solicitudes de cotizaciones para el diseño de instalaciones como plantas de procesamiento y producción de fuel.
Para mejorar aún más la credibilidad de los intentos de phishing, a las víctimas también se les pueden enviar archivos .PDF de perfiles de empresas disponibles al público.
Ver también: WhatsApp demandará a las compañías que abusan de la plataforma de mensajería masiva
Los atacantes se hacen pasar por compañías legítimas para otorgar legitimidad a los correos electrónicos. El nombre de una subsidiaria de Siemens, por ejemplo, es uno de los negocios genuinos que la APT united states como disfraz.
Según la Sección 52, la campaña está utilizando una nueva versión del malware Separ. Este malware que roba credenciales fue descubierto por primera vez por Sonicwall en 2013, y una vez que se deja caer en un sistema, intentará manipular el registro de Microsoft para agregar claves para persistencia antes de realizar un análisis para encontrar credenciales para robar.
En este caso, Separ está oculto en archivos adjuntos maliciosos .ZIP. En campañas recientes, investigadores de Instinto profundo También hemos registrado el malware enterrado en programas falsos relacionados con Adobe y en archivos .PDF.
Una vez desempaquetado, un conjunto de scripts por lotes implementa comandos maliciosos que se compilan en un ejecutable utilizando el Compilador de archivos por lotes rápidos.
Separ utiliza herramientas de descifrado gratuitas para probar y obtener contraseñas de los navegadores, incluidos Firefox, Chrome y Safari, así como las credenciales de cuentas de correo electrónico de Gmail, Yahoo, Home windows Live y Hotmail.
TechRepublic: Organizaciones que avanzan hacia pruebas de seguridad más rigurosas para garantizar el cumplimiento
La versión actualizada de Separ también buscará archivos con una variedad de extensiones, incluidas imágenes y documentos de Microsoft Business, antes de usar una conexión FTP básica para enviar estos datos a un dominio controlado por el atacante.
Además, el malware ejecutará ipconfig para mapear los adaptadores de pink conectados a un sistema comprometido e intentará deshabilitar el Firewall de Home windows.
Actualmente, la campaña está activa y es una de las muchas amenazas que enfrenta el sector industrial en la actualidad. Como hemos visto en el pasado, los ataques exitosos contra fabricantes y proveedores de servicios y servicios críticos no solo pueden ser devastadores para la propia víctima, sino también para las comunidades a las que sirven.
CNET: Reclamación de violación de datos de Equifax: le queda 1 mes para enviar. Así es cómo
«Las credenciales pueden proporcionar a los atacantes acceso remoto RDP a las redes IoT / ICS, mientras que los esquemas de las plantas ayudan a los adversarios a comprender los diseños de las plantas para facilitar los ataques», dicen los investigadores. «La campaña también puede estar destinada a robar información patentada sobre diseños de equipos industriales, que luego pueden venderse a competidores y estados-nación que buscan avanzar en su postura competitiva».
Cobertura previa y relacionada
¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
