Procedure Diànxùn: Campaña de ciberespionaje dirigida a empresas de telecomunicaciones


En este informe, el equipo de Inteligencia Estratégica de McAfee Innovative Danger Research (ATR) detalla una campaña de espionaje, dirigida a empresas de telecomunicaciones, denominada Operación Diànxùn.

En este ataque, descubrimos malware utilizando tácticas, técnicas y procedimientos (TTP) similares a los observados en campañas anteriores atribuidas públicamente a los actores de amenazas RedDelta y Mustang Panda. Si bien el vector inicial de la infección no está del todo claro, creemos con un nivel medio de confianza que las víctimas fueron atraídas a un dominio bajo el manage del actor de la amenaza, desde el cual fueron infectadas con malware que el actor de la amenaza aprovechó para realizar un descubrimiento adicional. y recopilación de datos. Creemos con un nivel medio de confianza que los atacantes utilizaron un sitio net de phishing disfrazado de la página de carrera de la empresa Huawei para apuntar a personas que trabajan en la industria de las telecomunicaciones.

Descubrimos malware que se hacía pasar por aplicaciones Flash, que a menudo se conectaban al dominio «hxxp: //update.careerhuawei.web» que estaba bajo el manage del actor de la amenaza. El dominio malicioso se diseñó para parecerse al sitio profesional legítimo de Huawei, que tiene el dominio: hxxp: //career.huawei.com. En diciembre, también observamos un nuevo nombre de dominio utilizado en esta campaña: hxxp: //update.huaweiyuncdn.com.

Además, la muestra que se hace pasar por la aplicación Flash utilizó el nombre de dominio malicioso “flach.cn”, que se hizo para parecerse a la página web oficial de China para descargar la aplicación Flash, flash.cn. Una de las principales diferencias con los ataques anteriores es la falta de uso de la puerta trasera PlugX. Sin embargo, identificamos el uso de una puerta trasera Cobalt Strike.

Mediante el uso de la telemetría de McAfee, se descubrieron posibles objetivos en el sector de las telecomunicaciones con foundation en el sudeste asiático, Europa y EE. UU. También identificamos un gran interés en el alemán, Empresas de telecomunicaciones vietnamitas e indias. Combinado con el uso del sitio falso de Huawei, creemos con un alto nivel de confianza que esta campaña estaba dirigida al sector de las telecomunicaciones. Creemos con un nivel moderado de confianza que la motivación detrás de esta campaña específica tiene que ver con la prohibición de la tecnología china en el despliegue world de 5G.

La actividad vinculada al grupo chino RedDelta, por parte de sus pares en nuestra industria, ha sido detectada en estado salvaje desde principios de mayo de 2020. Se han descrito ataques anteriores contra el Vaticano y organizaciones religiosas.

En septiembre de 2020, el grupo continuó su actividad utilizando documentos señuelo relacionados con el catolicismo, las relaciones Tíbet-Ladakh y el Consejo de Seguridad de la Asamblea Common de las Naciones Unidas, así como otras actividades de intrusión en la red dirigidas al gobierno de Myanmar y dos universidades de Hong Kong. Estos ataques utilizaron principalmente la puerta trasera de PlugX mediante la carga lateral de DLL con program legítimo, como Phrase o Acrobat, para comprometer los objetivos.

Si bien los informes externos han dado un nuevo nombre al grupo que atacó a las instituciones religiosas, creemos con un nivel moderado de confianza, basado en la similitud de los TTP, que ambos ataques pueden atribuirse a un actor de amenazas conocido: Mustang Panda.

Cobertura y protección

Creemos que la mejor manera de protegerse de este tipo de ataque es adoptar un enfoque multicapa que incluya MVISION Insights, McAfee Web Gateway, MVISION UCE y MVISION EDR.

MVISION Insights puede desempeñar un papel clave en la mitigación de riesgos mediante la recopilación proactiva de inteligencia sobre la amenaza y su exposición.

McAfee World-wide-web Gateway y MVISION UCE brindan protección vectorial website de múltiples capas con verificación de reputación de URL, descifrado SSL y capacidades de emulación de malware para analizar contenido internet activo peligroso como Flash y DotNet. MVISION UCE también incluye las capacidades de aislamiento remoto del navegador, la única solución que puede brindar protección al 100% durante la navegación net.

McAfee Endpoint Security que se ejecuta en el punto final de destino protege contra la Operación Dianxun con una variedad de técnicas de prevención y detección. ENS Danger Avoidance y ATP proporcionan capacidad de análisis de firmas y de comportamiento que detecta de forma proactiva la amenaza. ENS también aprovecha Worldwide Risk Intelligence, que se actualiza con IoC conocidos. Para las detecciones basadas en DAT, la familia se informará como Trojan-Cobalt, Trojan-FSYW, Trojan-FSYX, Trojan-FSZC y CobaltStr-FDWE.

Dado que la última fase del ataque implica la creación de una puerta trasera para el management remoto de la víctima a través de un servidor de comando y command y Cobalt Strike Beacon, las funciones de bloqueo que se pueden activar en una solución de sistema de prevención de intrusiones de próxima generación como McAfee NSP son importantes. NSP incluye un motor de detección de devolución de llamada y es capaz de detectar y bloquear anomalías en las señales de comunicación con los servidores C2.

MVISION EDR puede identificar de forma proactiva técnicas de persistencia y evasión de defensa. También puede utilizar MVISION EDR para buscar los indicadores de compromiso en tiempo actual o históricamente (hasta 90 días) en los sistemas empresariales.

Aprender más acerca de Operación Diànxùn, incluidas las técnicas Yara & Mitre ATT & CK, leyendo Ntro análisis técnico y Web site del defensor.

Resumen de la amenaza

Evaluamos con un alto nivel de confianza que:

  • Se han descubierto ataques recientes con TTP similares a los de los grupos chinos RedDelta y Mustang Panda.
  • Múltiples superposiciones que incluyen herramientas, redes y métodos operativos sugieren fuertes similitudes entre los grupos chinos RedDelta y Mustang Panda.
  • Los objetivos son principalmente empresas de telecomunicaciones con sede en el sudeste asiático, Europa y EE. UU. También identificamos un gran interés en las empresas de telecomunicaciones alemanas y vietnamitas.

Evaluamos con un nivel de confianza moderado que:

  • Creemos que esta campaña de espionaje tiene como objetivo el robo de información practical o secreta en relación con la tecnología 5G.

TENGA EN CUENTA: No tenemos evidencia de que la empresa de tecnología Huawei estuviera involucrada a sabiendas en esta Campaña.

McAfee State-of-the-art Threat Exploration (ATR) está monitoreando activamente esta amenaza y se actualizará a medida que aumente su visibilidad de la amenaza.





Enlace a la noticia primary