Una campaña de gran alcance y «muy activa» que originalmente tenía como objetivo Myanmar ha ampliado su enfoque para atacar una serie de objetivos ubicados en Filipinas, según una nueva investigación.
La empresa rusa de ciberseguridad Kaspersky, que detectó por primera vez las infecciones en octubre de 2020, las atribuyó a un actor de amenazas que rastrea como «LuminousMoth», que relacionó con una confianza media a alta con un grupo de hackers patrocinado por el estado chino llamado HoneyMyte o Mustang Panda, dada su victimología, tácticas y procedimientos observados.
Se han identificado alrededor de 100 víctimas afectadas en Myanmar, mientras que el número de víctimas se elevó a casi 1.400 en Filipinas, aunque los investigadores señalaron que los objetivos reales eran sólo una fracción de las cifras iniciales, incluyendo entidades gubernamentales ubicadas tanto en los dos países como en el extranjero.
Según los investigadores Mark Lechtik, Paul Rascagneres y Aseel Kayal, el objetivo de los ataques es afectar a un amplio perímetro de objetivos con el fin de alcanzar unos pocos de interés estratégico. Dicho de otro modo, las intrusiones son simultáneamente de gran alcance y de enfoque estrecho, lo que permite al acor de la amenaza desviar la inteligencia de los objetivos de alto perfil.
El vector de infección utilizado en la campaña consiste en el envío de un correo electrónico de spear-phishing a la víctima que contiene un enlace de descarga de Dropbox que, al hacer clic, conduce a un archivo RAR que está diseñado para imitar un documento de Word. El archivo comprimido, por su parte, viene con dos bibliotecas DLL maliciosas («version.dll» y «wwlib.dll») y dos archivos ejecutables correspondientes que ejecutan el malware.
Una vez conseguida la implantación, una cadena de infección alternativa observada por Kaspersky aprovecha las unidades USB extraíbles para propagar el malware a otros hosts con la ayuda de «version.dll». Por otro lado, el propósito de «wwlib.dll» es descargar una baliza Cobalt Strike en el sistema Windows comprometido desde un dominio controlado por un atacante remoto.
En algunos casos, los ataques incorporaban un paso adicional en el que el actor de la amenaza desplegaba una herramienta de postexplotación en forma de una versión firmada pero falsa de la aplicación de videoconferencia Zoom, que utilizaba para capturar archivos confidenciales en un servidor de mando y control. Se utilizó un certificado digital válido para firmar el software en un esfuerzo por hacer pasar la herramienta como benigna. En algunas máquinas infectadas también se encontró una segunda utilidad de post-explotación que roba las cookies del navegador Google Chrome.
Las operaciones cibernéticas maliciosas de LuminousMoth y sus posibles vínculos con Mustang Panda APT también pueden ser un intento de cambiar de táctica y actualizar sus medidas defensivas reequipando y desarrollando implantes de malware nuevos y desconocidos, señaló Kaspersky, lo que podría ocultar cualquier vínculo con sus actividades anteriores y difuminar su atribución a grupos conocidos.
«Los actores de las APT son conocidos por la naturaleza frecuentemente selectiva de sus ataques. Por lo general, eligen un conjunto de objetivos que, a su vez, se manejan con una precisión casi quirúrgica, con vectores de infección, implantes maliciosos y cargas útiles que se adaptan a las identidades o al entorno de las víctimas», dijeron los investigadores de Kaspersky.
«No es frecuente observar un ataque a gran escala llevado a cabo por actores que encajen en este perfil, normalmente debido a que tales ataques son ruidosos, y por tanto ponen la operación subyacente en riesgo de ser comprometida por productos de seguridad o investigadores.»
Espero que les haya gustado la noticia, no olviden compartir en las redes sociales.