Investigadores de Kaspersky detectan Rusia sobre Rusia …



Malware transmitido por esteganografía utilizado para espiar objetivos industriales en Rusia.

Un ataque recién descubierto arroja algo de luz sobre cómo el ciberespionaje no es solo para los intereses de los estados nacionales, sino que también puede usarse con fines de espionaje posiblemente competitivos o de otro tipo.

Investigadores de Kaspersky, con sede en Moscú, han descubierto y analizado una campaña de ciberataque que llamaron MontysThree que enfrentó a lo que creen que es un actor de habla rusa que ataca al sector industrial dentro del país, robando documentos y archivos de objetivos específicos. «Para nosotros, parece una especie de historia local», dice Denis Legezo, investigador senior de seguridad del Equipo de Análisis e Investigación Global de Kaspersky. «No creo que tengan una agenda política. Se parece más al espionaje industrial».

El sector industrial world wide ha experimentado su parte de infecciones de malware, tanto dirigidas como no dirigidas durante varios años. Los ataques a las redes de tecnología operativa han aumentado y, según una nueva encuesta según la firma de seguridad industrial Claroty, alrededor del 56% de las organizaciones del sector industrial en todo el mundo han experimentado más amenazas cibernéticas durante la pandemia de COVID-19.

MontysThree, que parece no tener conexión con ningún grupo de amenazas que Kaspersky rastrea actualmente, utiliza algunas técnicas relativamente inusuales en su campaña de ataque, incluida la esteganografía, un método sofisticado para enmascarar el malware detrás de las imágenes, así como un método relativamente torpe de comunicaciones de acceso remoto. HTTP sobre el Protocolo de escritorio remoto (RDP). El grupo también colocó una bandera falsa en el código de algunos de sus archivos de correo electrónico para que aparezca como un actor de habla china, pero Legezo dice que pudo extraer caracteres cirílicos del código que indica que el autor es en realidad un hablante nativo de ruso. .

Legezo dice que los atacantes se hicieron pasar por un laboratorio médico community en un ataque de spear-phishing para que abrieran accesorios manipulados. Tampoco tiene un nexo puro con el ciberdelito, dice: «No registraron ningún cripotolocker» u otros signos de ciberdelito, dice. «Son sólo recopilación de datos».

Kaspersky no proporcionó detalles sobre las víctimas objetivo.

El malware del cargador, disfrazado con esteganografía, en el correo electrónico de phishing utiliza un archivo de mapa de bits para ocultar el malware. Los señuelos son archivos RAR SFX que incluyen los nombres de contacto de los empleados, la documentación y los resultados médicos.

La esteganografía es un método de ofuscación antiguo pero poco utilizado, y no es fácil de implementar. Legezo dice que cree que los atacantes estaban tratando de escabullirse de las herramientas IDS / IPS en las redes de las víctimas ocultando el malware detrás de archivos de imágenes aparentemente inocentes.

MontysThree cifra la carga útil y busca principalmente archivos de Microsoft y Adobe Acrobat, mientras que también realiza las tareas habituales de espionaje de recopilar información de las configuraciones y características de las máquinas de destino. Los atacantes almacenan sus archivos robados en servicios de nube pública que incluyen a Google, Microsoft y Dropbox, para camuflar su actividad y evitar que se activen las alarmas en las herramientas de seguridad.

«En su mayoría, buscan información y documentos actuales», dice.

MontysThree también utiliza un método interesante de comunicaciones de acceso remoto en lugar de incorporar protocolos de comunicación en el malware. «A través de RDP, se conectan a un host remoto y abren Online Explorer» y usan los comandos del teclado de Command para seleccionar, copiar y pegar información robada. «Es la primera vez que veo un método de comunicación así. Es bastante ingenuo», dice.

Los atacantes también utilizan clientes Citrix: «La comunicación Citrix se realiza mediante un procedimiento related: el malware no implementa el protocolo, sino que busca Home windows Fast Launch .lnk para XenApp pnagent.exe, ejecuta Internet Explorer de forma remota y se comunica con él. a través del portapapeles mediante métodos abreviados de teclado especiales «, de acuerdo con la técnica de Kaspersky reporte en el ataque.

También fueron vistos cometiendo otros errores de atacantes novatos: iniciar sesión en RAM y archivos simultáneamente y almacenar claves de cifrado en el mismo archivo.

Aun así, Legezo dice que cree que MontysThree todavía está afinando y desarrollando su marco de ataque, por lo que continúa siguiendo de cerca al grupo.

Kelly Jackson Higgins es la editora ejecutiva de Dim Reading through. Es una periodista veterana de tecnología y negocios galardonada con más de dos décadas de experiencia en la elaboración de informes y la edición de varias publicaciones, entre las que se incluyen Community Computing, Safe Business … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique