Alertan de nuevo ataque global de hackers chinos

La firma de ciberseguridad española, S21sec, lanzó una alerta para informar de una nueva ola de ataques de hackers que trabajan bajo el patrocinio del gobierno chino, bajo la denominación APT10, con riesgo de intrusiones en redes gubernamentales, proveedores de servicios administrados (MSP, por sus siglas en inglés) y redes empresariales a escala mundial.

Con información del FBI, que obtuvo datos referentes a un grupo de ciberactores chinos que roban información de alto valor a víctimas privadas y gubernamentales en Estados Unidos y otros países, S21 sec dio la alerta a empresas e instituciones.

El grupo también ha sido reportado en otras alertas como APT10, Cloud Hopper, menuPass, Stone Panda, Red Apollo, CVNX y POTASSIUM.

Sus objetivos principales son MSP (proveedores de servicios administrados); sus clientes privados y gubernamentales; así como proveedores y entidades gubernamentales de servicios de defensa.

APT10 utiliza varias técnicas para comprometer sus objetivos, tales como como malware y spear phising. Después del ataque inicial, el grupo busca credenciales de administrador del MSP para pivotear entre la red en la nube del propio proveedor, y los sistemas de sus clientes.

La referida alerta considera que, además de las víctimas que puedan generarse por el acceso a través de los MSP, se podrían producir ataques en empresas de agricultura, automotriz, contratistas de defensa, electrónica, energía, minería, financiero, gobierno, defensa, transporte de mercancía (logística), telecomunicaciones, manufactura y salud, entre otros.

Tipos de códigos maliciosos

Los tipos de malware que emplea, según la referida alerta son RedLeaves, que es un RAT, para el cual se emplea como vector de ataque el spear-phishing. Uppercut/ Anel, puerta trasera, empleada en campañas de spear-phishingigualmente. Se despliega a través de señuelos para lo que emplea documentos de Word que contienen macros de Visual Basic (VBA).

También está ChChes, conocido como Chinese Chess, RAT que comunica con los servidores C2 empleando encabezados de cookie HTTP.

QuasarRat. En relación con este último, investigadores de Palo Alto, llegaron a determinar que un actor denominado GorgonGroup, en febrero de 2018 comenzó una campaña sobre objetivos gubernamentales en organizaciones del Reino Unido, España y Rusia, así como de los Estados Unidos.

Como en otros casos de spear phishing, las recomendaciones son las siguientes:

–Parcheo y supervisión de los sistemas ante la posible existencia de vulnerabilidades no parqueadas.

–Campañas de formación y concienciación periódicas que permitan mantener informados a los empleados de la organización sobre los nuevos casos de Spear Phishing, las actualizaciones de seguridad, vulnerabilidades, malware, etc.

Actualización de sistemas y políticas de ciberseguridad.