APT28 ha estado escaneando servidores de correo electrónico vulnerables por más de un año


APT28

Característica especial

La ciberguerra y el futuro de la ciberseguridad

Las amenazas a la seguridad de hoy se han ampliado en alcance y seriedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.

Lee mas

Durante el año pasado, una de las principales unidades de piratería patrocinadas por el estado de Rusia pasó su tiempo escaneando y buscando en Online servidores de correo electrónico vulnerables, según un informe publicado ayer por la firma de seguridad cibernética Trend Micro.

El informe trata de las actividades de APT28, también conocido como Fancy Bear, Sednit y Pawn Storm.

El grupo, que se cree que opera en nombre del servicio de inteligencia militar ruso GRU, ha estado activo desde 2004 y es uno de los dos grupos rusos que han violado el servidor de correo electrónico del DNC en 2016.

Al ser uno de los grupos de piratería más antiguos patrocinados por el estado, sus actividades se han registrado, analizado y clasificado en gran profundidad en una gran cantidad de informes de la industria.

Según estos informes, el arma principal de APT28 durante la última década ha sido el uso de campañas de phishing. A través de correos electrónicos cuidadosamente diseñados dirigidos a objetivos especialmente seleccionados y el uso de exploits de día cero, los operadores APT28 han infectado a las víctimas con una amplia gama de cepas de malware durante más de 15 años.

Escaneando world wide web en busca de servidores vulnerables

Sin embargo, en un informe publicado ayer por Development Micro, los analistas de la firma de ciberseguridad han detectado un cambio importante en las operaciones del grupo.

Si bien la suplantación de identidad (phishing) y el malware han permanecido en el menú, Pattern Micro dice que APT28 también comenzó el año pasado a realizar exploraciones de toda Internet, en busca de servidores webmail y servidores de detección automática de Microsoft Trade vulnerables: en los puertos TCP 445 y 1433.

No está claro qué ataques lanza APT28 contra los servidores que identifica como vulnerables, aunque no sería difícil imaginar que intentarían apoderarse del sistema sin parchear, ya sea para robar datos confidenciales almacenados dentro o usar el servidor de correo electrónico como un peón en otras operaciones

Asumir cuentas de correo electrónico para iniciar operaciones de phishing

Pero además de los escaneos del servidor, APT28 también ha estado ocupado con otro esquema, dijo Craze Micro.

A través de una pink de servidores VPN, los operadores APT28 se conectan a cuentas de correo electrónico comprometidas en los servidores de correo electrónico de compañías legítimas.

Development Micro cree que APT28 está phishing a los empleados de compañías legítimas y está robando sus credenciales de inicio de sesión para cuentas de correo electrónico corporativas, o realizando ataques de fuerza bruta para adivinar las contraseñas de las cuentas de correo electrónico.

Una vez que tienen credenciales en la mano, a través de una pink de servidores VPN, los operadores APT28 se conectan a las cuentas comprometidas utilizando las contraseñas robadas.

apt28-spammer.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/03/20/b8b7968d-2bce-4768-a945-a4ca06549c41/apt28-spammer.png

Aquí, APT28 extrae datos que encuentran de interés o utilizan las cuentas de correo electrónico comprometidas para enviar campañas de correo electrónico de phishing a otros objetivos.

Dado que los correos electrónicos provienen de personas reales de compañías legítimas, se cree que estas campañas de phishing son más efectivas que la mayoría de los otros correos no deseados de phishing, ya que proporcionan a APT28 nuevas credenciales robadas de las nuevas compañías víctimas.

Pattern Micro dice que la gran mayoría de las empresas que tenían comprometidas sus cuentas de correo electrónico tienen su sede en los Emiratos Árabes Unidos y operan en el sector de defensa.

apt28-targets.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/03/20/5b4c3a1c-6606-4168-b8b0-9bbb1fac7b07/apt28-targets.png

Imagen: Development Micro

A continuación se muestra una lista de algunas de las compañías que tenían cuentas de correo electrónico comprometidas (y luego utilizadas para enviar más spam de phishing) por piratas informáticos APT28 entre agosto y noviembre de 2019.

apt28-victim.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/03/20/82c3061a-1cbd-44df-84a4-dbb23aac64dd/apt28-victims.png

Imagen: Development Micro

Las nuevas tácticas de APT28 muestran que este actor de amenaza en specific no puede encasillarse dentro de una matriz de amenaza en individual y lo más possible es que diversifique su arsenal de ataque sin limitaciones, ya que ha demostrado las habilidades y el ingenio necesarios para adaptarse a las nuevas tácticas en el pasado.



Enlace a la noticia primary