RedAlpha APT respaldada por China construye una infraestructura de ciberespionaje en expansión



El grupo de amenazas persistentes avanzadas (APT) RedAlpha, que se cree que está vinculado al estado chino, ha estado espiando a organizaciones humanitarias, de expertos y gubernamentales globales gracias a una campaña masiva de phishing que ha estado activa durante años.

Esa es la palabra del Grupo Insikt de Recorded Long term, que también descubrió que la recopilación de inteligencia probablemente se united states of america para apoyar los abusos contra los derechos humanos orquestados por el Partido Comunista Chino (PCCh).

RedAlpha (también conocido como Deepcliff o Crimson Dev 3) se especializa en la recopilación masiva de credenciales, lo que logra a través de correos electrónicos de phishing convincentes con archivos PDF adjuntos que conducen a supuestas páginas de inicio de sesión. El grupo ha estado operativo a un «ritmo alto» desde al menos 2015, señalan los investigadores de Insikt, aunque no despertó la atención de los investigadores de seguridad hasta 2018. Y desde 2019, la actividad ha aumentado aún más, dicen los analistas.

«Durante los últimos tres años, hemos observado que RedAlpha registró y convirtió en armas a cientos de organizaciones de suplantación de dominios como la Federación Internacional de Derechos Humanos (FIDH), Amnistía Internacional, el Instituto Mercator para Estudios de China (MERICS), Radio Totally free Asia (RFA) , el Instituto Estadounidense en Taiwán (AIT) y otras… organizaciones», según una publicación de site del martes de Insikt.

El año pasado, RedAlpha levantó al menos 350 dominios en normal, lo que representa un gran aumento en su actividad, dijeron los analistas. En muchos casos, las páginas de phishing observadas imitaban los portales de inicio de sesión de correo electrónico legítimos para estos objetivos específicos, lo que sugiere que los atacantes pretendían apuntar a personas directamente afiliadas a las organizaciones, en lugar de usar la marca de las entidades para apuntar a otros terceros.

En distinct, se ha observado que la APT ataca directamente a las minorías étnicas y religiosas, como las comunidades tibetana y uigur, y a los manifestantes, como los miembros de Falun Gong, y ha estado particularmente interesada en todo lo relacionado con Taiwán. En resumen, los objetivos se alinean estrechamente con los intereses chinos. Por lo tanto, la thought es obtener acceso a las cuentas de correo electrónico y otras comunicaciones en línea de las víctimas, para espiar y recopilar información política sobre los objetivos, suponen los investigadores.

Casey Ellis, fundador y CTO de Bugcrowd, dice que la información recopilada puede utilizarse como arma no solo para guiar ataques cinéticos o físicos contra las personas de interés, sino también para contramensajes destinados a socavar sus actividades.

«China tiene una enorme población de tecnólogos muy astutos, una vasta comunidad de investigación y piratería de seguridad, y un gran equipo patrocinado por el gobierno con capacidad ofensiva que va desde la guerra de información hasta el desarrollo de exploits específicos e I + D», dice. «Los datos robados para el espionaje del estado-nación, por ejemplo, probablemente no se utilicen para el fraude si el actor de la amenaza es chino. La principal amenaza, como ocurre con la mayoría de los actores de la amenaza del estado-nación, es la desinformación y los memes armados. , y propaganda subversiva a través de las redes sociales y medios tradicionales”.

La suplantación de identidad también ha incluido hacerse pasar por proveedores de servicios de correo electrónico conocidos en un esfuerzo por parecer legítimos, incluidos Yahoo (135 dominios con errores tipográficos), Google (91 dominios con errores tipográficos) y Microsoft (70 dominios con errores tipográficos).

«Los grupos patrocinados por el estado chino continúan atacando agresivamente a los disidentes y grupos e individuos minoritarios, tanto a nivel nacional a través de la vigilancia estatal como a nivel internacional a través de la actividad de intrusión cibernética», señalan los investigadores. «Esta focalización en comunidades sensibles y vulnerables, muchas de las cuales tienen limitaciones presupuestarias y de recursos de seguridad, es particularmente preocupante.

Infraestructura de phishing en expansión

De acuerdo a Análisis de Perceptionel grupo mantiene grandes grupos de infraestructura operativa, más allá de los cientos de dominios de phishing que imitan y falsifican organizaciones específicas.

Los investigadores dicen que otras características consistentes de los esfuerzos del grupo incluyen el uso de *resellerclub[.]servidores de nombres com utilizando el proveedor de alojamiento de servidor privado digital (VPS) Virtual Device Alternatives (VirMach) convenciones de nombres de dominio similares, como el uso de cadenas «mydrive-«, «cuentas-«, «correo-«, «unidad-» y «archivos-» en cientos de dominios superposición de nombres de registrantes de WHOIS, direcciones de correo electrónico, números de teléfono y organizaciones y el uso de componentes tecnológicos específicos del lado del servidor y errores HTTP 404 Not Uncovered falsos.

Phil Neray, vicepresidente de estrategia de defensa cibernética de CardinalOps, dice que este tipo de huella grande permite resultados significativos de espionaje, que es uno de los sellos distintivos de las APT chinas.

«China ha sido una de las principales amenazas de los estados-nación durante muchos años, dado su uso estratégico del ciberespionaje para obtener experiencia en tecnologías clave como la biotecnología, los semiconductores, la defensa y la energía, mediante el robo de propiedad intelectual patentada de Occidente», dijo. dice. «También han apuntado a PII en ataques contra organizaciones gubernamentales como la Oficina de Administración de Personal (OPM) y grandes organizaciones de seguros de salud como Anthem, que fueron dos de las filtraciones de datos más grandes de la historia».

El phishing es el phishing es el phishing

Las tácticas en este caso están probadas y son verdaderas, incluso si los perpetradores ocupan un estatus de «primer nivel» en el panteón del ciberdelito.

«Cuando se trata de phishing, los actores de amenazas en todos los niveles generalmente confían en tácticas estéticas convencionales para atraer a sus víctimas», dice a Dark Looking at Darren Guccione, director ejecutivo y cofundador de Keeper Safety. «Las personas inocentes que no están capacitadas en la prevención del phishing generalmente se enfocan en las ‘telas a rayas’ del correo electrónico. Esto significa que se usa la estética con la que están familiarizados, como el logotipo y los colores de un sitio humanitario, de un grupo de expertos o del gobierno. para atraerlos a un enlace o campo de formulario malicioso».

Sin embargo, es importante no subestimar las consecuencias de este enfoque familiar de ingeniería social.

«Las amenazas de ciberseguridad que, en última instancia, resultan en infracciones debido a contraseñas débiles, credenciales robadas o correos electrónicos de phishing son omnipresentes», dice Guccione. «Pueden tener consecuencias adversas devastadoras y a largo plazo, particularmente cuando se utiliza una campaña de espionaje de amplio alcance para apoyar los abusos contra los derechos humanos».

Cualquier organización debe reforzar la conciencia de los usuarios y emplear defensas básicas para evitar estar en el anzuelo del phishing, agrega Guccione.

«Tendemos a creer lo que vemos, por lo que la estética y una interfaz de usuario convincente a menudo superan la conciencia de una URL infame e incorrecta», señala. «La clave de la capacitación es garantizar que los usuarios verifiquen que la URL coincida con el sitio world-wide-web auténtico. Un administrador de contraseñas que puede identificar automáticamente cuando la URL de un sitio no coincide es una herramienta elementary para prevenir los ataques más comunes relacionados con contraseñas, incluido el phishing. y relleno de credenciales».

Neray de CardinalOps agrega que cuando se trata específicamente de objetivos de la sociedad civil, «las organizaciones de todos los tamaños deben protegerse implementando un monitoreo continuo en todos los niveles de sus infraestructuras (puntos finales, crimson, nube, identidad) y asegurando que tienen políticas de detección de SOC en lugar que coincida con las últimas técnicas adversarias empleadas por los atacantes chinos, como se documenta en el marco MITRE ATT&CK».



Enlace a la noticia authentic