Nuevo grupo de piratería de estado-nación detectado apuntando a países del sur de Asia

Los investigadores de Symantec detectaron un nuevo grupo de piratas informáticos respaldado por un estado llamado Harvester. Según ellos, el grupo utiliza una combinación de herramientas novedosas y disponibles públicamente para incumplir objetivos.

Se ve a Harvester atacando empresas de TI, telecomunicaciones y organizaciones gubernamentales críticas en el sur de Asia. Es inteligente al desplegar la carga útil y realizar la vigilancia en las máquinas del objetivo.

Índice de contenidos

    Un nuevo pirata informático respaldado por el Estado-nación

    Los investigadores de Symantec han descubierto un nuevo grupo de piratería vinculado a un origen desconocido. Toda la evidencia que dejó no coincidió con ningún grupo de piratería anterior. Sin embargo, al observar el patrón y el desarrollo de herramientas de explotación personalizadas, los investigadores concluyeron que el grupo de piratería pertenecía a algún estado-nación.

    Leer también: la OAG de Nueva York ordenó dos plataformas de criptopréstamos para detener las operaciones

    Lo llamaron Segador y utilizó una combinación de herramientas desarrolladas a medida y disponibles públicamente como se indica a continuación;

    • Baliza de impacto de cobalto - utiliza la infraestructura de CloudFront para su actividad de C&C. Esta herramienta se utiliza para inyectar procesos, ejecutar comandos, cargar y descargar archivos y suplantar.
    • Metasploit es un marco modular que se utiliza para diversos fines, como la escalada de privilegios, la captura de pantalla, una puerta trasera persistente, etc.
    • Puerta trasera.Graphon - una puerta trasera personalizada que utiliza la infraestructura de Microsoft para su actividad de C&C.
    • Descargador personalizado - una infraestructura de Microsoft utilizada para su actividad de C&C.
    • Captura de pantalla personalizada : Se utiliza para registrar capturas de pantalla en un archivo periódicamente.

    Harvester es un grupo de piratería relativamente nuevo, que comenzó sus operaciones en junio de este año. La última actividad del grupo fue detectada recientemente, este mes, atacando organizaciones de telecomunicaciones, gobierno y tecnología de la información (TI).

    Harvester es aplaudido por varios medios engañosos que utiliza para desplegar la carga útil y ocultarla.. Se descubrió que el grupo está combinando C2 para mezclar los comandos con el tráfico de red legítimo de CloudFront y la infraestructura de Microsoft.

    Además, el descargador personalizado crea los archivos necesarios, agrega un valor de registro para un nuevo punto de carga y abre un sitio web (hxxps: // usedust[.]com) en el navegador web integrado del sistema.

    Todo esto está hecho para confundir a la víctima, ya que no se extrae nada de dicho sitio web. Si bien los investigadores aún no han descubierto el vector inicial de Graphon, advierten a las organizaciones en el sur de Asia que permanezcan atentas a estos ataques.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir