Los piratas informáticos chinos de APT apuntaban a las telecomunicaciones del sudeste asiático

El equipo Nocturnus de Cybereason ha descubierto una campaña de ciberespionaje llamada DeadRinger, donde tres actores de amenazas apuntan a empresas de telecomunicaciones en el sudeste asiático.

Al rastrear sus técnicas y tácticas, los investigadores los vincularon con grupos estatales chinos, como APT, y tenían la intención de robar datos confidenciales de los objetivos. En cambio, se les ve explotando viejas vulnerabilidades en las máquinas disponibles.

Índice de contenidos

    En funcionamiento desde 2017

    Los grupos de piratas informáticos patrocinados por el estado no siempre están motivados por medios monetarios, sino que están hambrientos de datos. Por lo tanto, participan en el reconocimiento cibernético y proporcionan datos críticos a sus gobiernos patrocinadores para obtener una ventaja competitiva.

    Si bien muchos países avanzados tienen sus propios grupos de amenazas persistentes avanzadas (APT) que se ejecutan de forma encubierta, el chino y el ruso están activos entre la comunidad. Y el martes, el ala de ciberseguridad de Cybereason, Nocturnus ha descubrió una nueva campaña revelando tres grupos APT chinos.

    Todos estos están dirigidos a empresas de telecomunicaciones que trabajan en el sudeste asiático y se remontan a 2017. Sin embargo, el primero de ellos, llamado APT de celda blanda, ha comenzado a atacar desde 2018.

    Se supuso que el segundo era de Naikon, inició operaciones a fines del año pasado y está vinculado a la oficina militar del Ejército Popular de Liberación de China (EPL).

    Y el tercero estaba vinculado a APT27 (Panda emisario) y estuvo funcionando desde 2017 hasta principios de 2021. Se vio atacando las vulnerabilidades de los servidores Microsoft Exchange mucho antes de descubrir e implementar otro software malicioso para recolectar más datos.

    Estos incluyen el shell web de China Chopper, Mimikatz para recolectar credenciales, balizas Cobalt Strike y puertas traseras para conectarse a su servidor C2 para la exfiltración de datos. Esta campaña se denomina colectivamente como DeadRinger y se dijo que estaba logrando el modelo de incidentes de Kaseya y SolarWinds.

    Las empresas de telecomunicaciones impactantes pueden acceder a sistemas críticos como los servidores de facturación, que contienen los datos de Call Detail Record (CDR) y otros componentes de red como los controladores de dominio, servidores web y servidores Microsoft Exchange.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir