Los ataques de Promethium APT aumentan, nuevos instaladores troyanizados descubiertos


Promethium, el grupo de amenazas también conocido como StrongPity, ha sido rastreado en una nueva ola de ataques que implementan una lista ampliada de instaladores troyanos que abusan de la popularidad de las aplicaciones legítimas.

Activo desde aproximadamente 2002, el grupo de amenazas persistentes avanzadas (APT) de Promethium ha sido expuesto una y otra vez por investigadores de seguridad y equipos de derechos civiles para la vigilancia prolífica y la recopilación de inteligencia relacionada con objetivos políticos.

Por lo standard, Promethium se ha centrado en objetivos en Turquía y Siria, aunque el grupo también se ha sumergido en Italia y Bélgica en el pasado.

En nuevos informes separados, los investigadores de Cisco Talos y BitDefender (.PDF) han revelado no solo nuevos países en la lista de éxitos, sino también un arsenal mejorado diseñado para comprometer las máquinas víctimas.

Talos ha rastreado aproximadamente 30 nuevos servidores de comando y management (C2) pertenecientes a Promethium vinculados a una forma evolucionada del malware de vigilancia del grupo, StrongPity3, que también se cree que está vinculado al patrocinio estatal.

Ver también: La campaña de espionaje PhantomLance viola la seguridad de Google Participate in

Para ocultar las actividades del spyware, BitDefender dice que la purple C2 que rastreó el equipo tiene tres capas de infraestructura, incluido el uso de servidores proxy, VPN y direcciones IP que reciben datos reenviados. En total, el equipo mapeó 47 servidores con diferentes funcionalidades.

Según Talos, la lista de países objetivo ahora incluye a Colombia, India, Canadá y Vietnam. El informe de BitDefender señala objetivos ubicados cerca de la frontera entre Turquía y Siria, así como Estambul, que según el equipo «refuerza la idea de que esta amenaza podría estar involucrada en el conflicto geopolítico entre Turquía y la comunidad kurda».

Para infectar a más víctimas, la APT ha reforzado su kit de herramientas mediante el uso de nuevos archivos de configuración troyanizados diseñados para implementar el spyware StrongPity3.

Estos incluyen una versión en turco del navegador Firefox, VPNpro, DriverPack y archivos maliciosos de 5kPlayer, pero puede haber otros.

Los archivos trojanizados instalarán la aplicación legítima en una máquina comprometida, junto con el malware, en un intento por evitar la detección y evitar la sospecha de la víctima cuando su software package esperado no se materializa.

CNET: Google recopila una cantidad aterradora de datos sobre usted. Puedes encontrarlo y eliminarlo ahora

Mientras examinaba los instaladores vinculados a los actores de la amenaza, BitDefender señaló que los cuentagotas de malware tienen tiempos de compilación que indican semanas de trabajo normales y 9 a 6 programaciones, lo que podría sugerir que la campaña involucra equipos de desarrolladores pagados.

Las principales diferencias entre StrongPity3 y la versión anterior, StrongPity2, son un cambio de libcurl a winhttp cuando se realizan solicitudes C2 y un mecanismo de persistencia convertido de una clave de registro en un servicio. Los últimos patrones de ataque de la APT siguen la tendencia de vigilancia, junto con la filtración de cualquier archivo de Microsoft Office detectado en una máquina comprometida.

Si bien el equipo de Talos no pudo rastrear el vector de ataque inicial, los investigadores dicen que los archivos podrían aterrizar a través de un ataque a un pozo de agua o una intercepción de solicitud en el camino, con un ISP realizando una redirección HTTP, como lo explain CitizenLab en un informe de 2018 sobre las actividades de prometio.

El informe de CitizenLab documenta el uso de dispositivos de inspección profunda de paquetes (DPI) de Sandvine / Procera Networks para interceptar el tráfico y entregar malware en Turquía y Siria, así como para realizar publicidad maliciosa y minar encubiertamente criptomonedas en Egipto.

TechRepublic: ¿Qué es Gaia-X? Una guía para el approach de lucha contra la computación en la nube de Europa

«El prometio ha sido resistente a lo largo de los años», dice Talos. «Sus campañas han sido expuestas varias veces, pero eso no fue suficiente para hacer que los actores detrás de ellos hicieran que se detuvieran. El hecho de que el grupo no se abstenga de lanzar nuevas campañas, incluso después de haber estado expuesto, muestra su determinación de cumplir su misión».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia first