Kaspersky: la campaña de pesca submarina LuminousMoth alcanzó 1.500 objetivos en Asia


Los investigadores de seguridad creen que HoneyMyte está detrás de la amenaza persistente avanzada que se ha dirigido principalmente a entidades gubernamentales.

istock-471043674.jpg

Imagen: iStock / jauhari1

Los investigadores de seguridad de Kaspersky han identificado un campaña generalizada de ciberespionaje dirigida a oficinas gubernamentales en Asia el ataque de ciberseguridad comienza con un correo electrónico de spearphishing. Los expertos en seguridad han identificado 100 víctimas en Myanmar y 1.400 en Filipinas.

Los analistas de Kaspersky explicaron el ataque LuminousMoth en el weblog SecureList y sugirieron que las cifras desiguales entre los dos países podrían deberse a un vector de infección adicional y desconocido que se united states solo en Filipinas.

El correo electrónico malicioso inicial incluye un enlace de Dropbox. Si una persona hace clic en el enlace, esta acción descarga un archivo RAR disfrazado de documento de Term que lleva la carga útil maliciosa, según el análisis de Kaspersky. Una vez que el malware llega a una máquina, filtra los datos a un servidor de comando y handle. El malware también intenta infectar otras máquinas propagándose a través de unidades USB. Si hay una unidad disponible, el malware crea directorios ocultos en el dispositivo portátil donde mueve todos los archivos del objetivo.

El malware tiene otras dos tácticas para permitir el movimiento lateral. La primera es una versión falsa firmada de Zoom, y la segunda roba cookies del navegador Chrome.

Aseel Kayal, investigador de seguridad del Equipo de Análisis e Investigación World wide (Good) de Kaspersky, dijo en un comunicado de prensa que la escala del ataque es poco común.

«También es interesante que hayamos visto muchos más ataques en Filipinas que en Myanmar», dijo Kayal. «Esto podría deberse al uso de unidades USB como mecanismo de propagación o podría haber otro vector de infección que aún no sabemos que se esté utilizando en Filipinas».

Los investigadores de seguridad de Kaspersky creen con una confianza de media a alta que el grupo de amenazas HoneyMyte está detrás del ataque. El grupo es un actor de amenazas de habla china y parece estar interesado en recopilar inteligencia geopolítica y económica en Asia y África.

Mark Lechtik, investigador sénior de seguridad del equipo Terrific de Kaspersky, dijo en un comunicado de prensa que esta nueva actividad parece respaldar la tendencia de los actores de amenazas de habla china que reacondicionan y producen implantes de malware nuevos y desconocidos.

Kaspersky recomienda tomar estas medidas para defenderse de estos ataques:

  • Brindar capacitación básica en higiene en ciberseguridad que cubra el phishing y otras técnicas de ingeniería social.
  • Realizar una auditoría de ciberseguridad de todas las redes y remediar las debilidades descubiertas en el perímetro o dentro de la pink.
  • Instalación de soluciones anti-APT y EDR para permitir el descubrimiento y la detección de amenazas, la investigación y la corrección oportuna de incidentes.
  • Proporcione al equipo de seguridad la información más reciente sobre amenazas.
  • Capacite a los miembros del equipo de seguridad con regularidad.

Ver también



Enlace a la noticia primary