ID de Kaspersky Nuevo application malicioso sofisticado dirigido a …


&#39USBCulprit&#39 es una de varias herramientas que sugieren que el grupo Cycldek previamente conocido es más peligroso de lo que se suponía anteriormente, dice el proveedor de seguridad.

Un probable actor de amenazas con sede en China llamado Cycldek, que los investigadores de seguridad han descartado previamente como un grupo un tanto marginal con capacidades relativamente poco sofisticadas, puede ser considerablemente más peligroso de lo que se pensaba.

Ese es el análisis del proveedor de seguridad Kaspersky después de un nuevo examen del conjunto de herramientas y operaciones de malware del grupo de amenazas. En un informe de esta semana, los investigadores de Kaspersky describen la búsqueda de numerosas pepitas de, hasta ahora, información desconocida que sugiere que los operadores de Cycldek tienen una amplia presencia en las redes de varios objetivos de alto perfil en Vietnam, Laos y Tailandia. Desde al menos 2018, el grupo (también conocido como Goblin Panda y Conimes) ha estado utilizando una variedad de nuevas herramientas, tácticas y procedimientos en ataques contra agencias gubernamentales en estos países, dice Kasperksy.

Entre las nuevas herramientas se encuentra una llamada USBCulprit, que parece diseñada para su uso en entornos con espacio de aire donde los sistemas no son directamente accesibles desde una crimson externa. De acuerdo con Kasperksy, su análisis muestra que el malware es capaz de robar datos específicos de un sistema infectado y pasarlos a unidades USB conectadas. El malware está programado para copiarse selectivamente en ciertas unidades USB para que pueda moverse lateralmente a otros sistemas con espacio de aire cada vez que se inserta una unidad USB infectada en uno.

Mark Lechtik, investigador senior de seguridad de Kaspersky, dice que USBCulprit no tiene capacidad de comunicarse a través de la red y solo puede pasar cualquier información que haya robado a los medios físicos. El hecho de que perfila la conectividad de purple del sistema infectado y copia esta información junto con documentos robados en unidades extraíbles sugiere que fue diseñado principalmente para apuntar a máquinas con espacios de aire, dice.

«Para implementar USBCulprit en un sistema con espacio de aire, el USB tendría que estar físicamente conectado a él y un operador tendría que iniciar manualmente el ejecutable del malware, ya sea a propósito o por error», señala Lechtik. Se cree que el ataque cibernético Stuxnet liderado por Estados Unidos que destruyó físicamente numerosas centrifugadoras en la planta de enriquecimiento de uranio Natanz de Irán en 2012 comenzó de esta manera, con alguien insertando un USB armado en un sistema crítico en la instalación.

Sin embargo, lo que no está claro es la táctica que los operadores de Cycldek están utilizando para filtrar los datos de los USB. Es muy posible que la copia de datos a los USB sea el remaining del juego y los atacantes estén recolectando manualmente las unidades más tarde.

Exfiltración de datos
Pero de manera un tanto desconcertante, el análisis de Kasperksy muestra que USBCulprit también puede volcar datos robados de una unidad USB conectada a un disco nearby en sistemas que contienen un archivo de marcador especial llamado «1.txt» en una ruta específica, dice Lechtik. Esto es cierto independientemente de si el sistema está conectado a la pink.

«Sabemos que los sistemas que anteriormente estaban marcados con el archivo especial &#391.txt&#39 (son) teóricamente capaces de exfiltrar los datos de alguna manera», dice.

Kaspersky no ha podido encontrar ninguna evidencia de cómo estos sistemas especialmente marcados extraen los datos robados.

«Podemos suponer que lo está haciendo otra pieza de malware en la que no tenemos visibilidad o que un USB manipuló los USB después de que se copiaron los datos, evitando la necesidad de emitirlos a través de la red «, Dice Lechtik.

Lo que tampoco está claro es la información específica que los operadores de Cycldek buscan con USBCulprit. El malware recopila documentos en función de las extensiones de archivo y la ubicación de los documentos en el sistema, por ejemplo, Escritorio, Documento reciente y otros directorios. El malware no parece distinguir archivos en función del contenido serious, por lo que no hay forma de identificar la naturaleza de los documentos que Cyclkdek podría obtener de los sistemas con espacios de aire en las organizaciones gubernamentales.

Los operadores de Cycldek parecen haber estado utilizando USBCulprit al menos desde 2014 y modificarlo desde entonces. La última versión contiene una característica que sugiere que la funcionalidad del malware se puede ampliar con nuevos módulos según sea necesario.

Los investigadores de Kasperksy observaron el malware utilizado por lo que parecen ser dos grupos separados bajo el paraguas de Cycldek. Los datos disponibles sugieren un cierto nivel de cooperación y herramientas compartidas entre las dos entidades. Pero la infraestructura utilizada y los comportamientos en los sistemas infectados por cada uno de ellos son diferentes, dice Kaspersky.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia unique