Nueva campaña del grupo vinculado a China apunta a organizaciones estadounidenses …



En al menos un caso, el grupo APT de Palmerworm pudo permanecer sin ser detectado en un sistema comprometido durante casi seis meses, según Symantec.

Investigadores de Symantec han descubierto una nueva campaña de ciberespionaje realizada por un grupo de amenazas persistentes avanzadas (APT) con sede en China llamado Palmerworm. El grupo se dirige a organizaciones en varios países, incluido, por primera vez, Estados Unidos.

Palmerworm ha estado usando una colección de nuevo malware, incluidas cargas útiles firmadas con certificados de firma de código robados, en la última campaña, que Symantec estimó que se lanzó en agosto de 2019.

en un reporte esta semana, el proveedor de seguridad dijo que había identificado al menos a cinco víctimas de la nueva campaña hasta el momento. La lista de víctimas comprende tres empresas de los sectores de medios, electrónica y finanzas en Taiwán una empresa de construcción en China y una empresa de ingeniería en Japón. En algunas de estas intrusiones, el grupo de amenazas permaneció activo en la purple de víctimas durante todo un año.

Symantec dijo que también había observado actividad de Palmerworm en algunas redes de víctimas en Estados Unidos recientemente, pero que no pudo identificar las organizaciones o sectores industriales a los que pertenecían.

«Basándonos en nuestra visibilidad y datos, esta es la primera vez que vemos a Palmerworm apuntar a los EE. UU.», Dice Jon DiMaggio, analista de amenazas cibernéticas de Symantec, una división de Broadcom. En al menos un caso, los actores de la amenaza pudieron permanecer sin ser detectados en un sistema comprometido durante casi seis meses, dijo Symantec.

Palmerworm se ha dirigido tradicionalmente a organizaciones ubicadas en Asia. Entonces, los ataques en los EE. UU. Representan un cambio en el enfoque del grupo y es probable que sea una tendencia que continuará, dice DiMaggio.

Después de unos años de disminución de la actividad de China tras su pacto de no piratería con los EE. UU. De 2015, los ataques de China han vuelto a los niveles anteriores.

«A partir de 2018, hemos notado el aumento de la actividad, y la campaña Palmerworm es una prueba más del regreso de la focalización en EE. UU.», Dice DiMaggio. «En comparación con la actividad anterior, el cambio que vemos es probablemente un resultado directo en el objetivo o la misión de Palmerworm evolucionando y cambiando para adaptarse a las necesidades de sus manipuladores».

Palmerworm, que también se conoce como Blacktech por algunas empresas de seguridad, es un actor de amenazas previamente conocido que se cree que está llevando a cabo al menos algunas de sus misiones en nombre del gobierno chino. La mayoría de sus actividades hasta ahora se han centrado en organizaciones en Taiwán, Hong Kong y Japón.

En 2017 proveedor de seguridad Development Micro vinculó tres campañas de ciberespionaje independientes y de larga duración a Palmerworm / Blacktech. Uno de ellos fue una campaña de robo de datos centrada en el robo de datos confidenciales de organizaciones gubernamentales y del sector privado en Taiwán. Las otras dos campañas también involucraron el robo de propiedad intelectual y otros datos de contratistas gubernamentales y empresas de los sectores informático, electrónico, sanitario y financiero de Asia oriental.

En ese momento, Trend Micro describió a las víctimas iniciales de Palmerworm / Blacktech como que no siempre eran los objetivos principales del grupo. A menudo, se observó al grupo utilizando datos obtenidos de una víctima que se utilizaban para atacar a otra organización. Trend Micro concluyó que los documentos que el grupo APT robó en sus ataques iniciales probablemente fueron solo la primera fase de una cadena de ataque más larga.

El mes pasado Reuters informaron que funcionarios del gobierno taiwanés describieron a Palmerworm / Blacktech como uno de los dos grupos respaldados por China responsables de una serie de ataques a partir de 2018 que tuvieron como objetivo al menos 10 agencias gubernamentales y cuatro empresas de tecnología en Taiwán. Los ataques tuvieron como objetivo al menos 6.000 cuentas de correo electrónico pertenecientes a funcionarios del gobierno taiwanés, dijo Reuters.

Nuevo malware, mismas tácticas
Según Symantec, Palmerworm ha estado utilizando al menos cuatro puertas traseras nunca antes vistas en sus últimos ataques. La compañía identificó el malware como Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit y Backdoor.Nomri. Al igual que en campañas anteriores, Palmerworm también está utilizando una gran cantidad de herramientas de doble uso para ingresar a los sistemas y robar datos. Las herramientas incluyen Putty para acceso remoto y exfiltración de datos, PSExec para movimiento lateral, SNScan para reconocimiento de purple y WinRAR para comprimir archivos robados antes de transmitirlos a sistemas controlados por atacantes.

Como lo ha hecho en ataques anteriores, los agentes de Palmerworm están utilizando certificados de firma de código robados para firmar digitalmente cargas útiles maliciosas para evadir los mecanismos de detección de malware empresarial. En julio de 2018, investigadores de ESET informó haber observado a Palmerworm / Blacktech firmando digitalmente su malware con un certificado de D-Connection Corp. robado que este último revocó después de ser informado sobre el robo.

Con foundation en los datos disponibles, es difícil decir si el motivo principal de los últimos ataques de Packerworm es el ciberespionaje o el apuntar a la cadena de suministro.

«Solo el tiempo y la observación nos permitirán determinar si las víctimas actuales son los objetivos principales (o) los objetivos secundarios utilizados para el apalancamiento en una operación de cadena de suministro más significativa», dice DiMaggio.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first