Nueva campaña de APT dirigida a organizaciones militares y financieras

Esta última campaña se ha centrado en objetivos militares y financieros en Europa del Este y evidencia el rápido desarrollo del grupo.

CactusPete, también conocido como Karma Panda o Tonto Team, es un grupo de ciberespionaje activo al menos desde 2012. En esta ocasión ha mejorado su puerta trasera para atacar a organizaciones militares y financieras de Europa oriental y acceder a información confidencial. Además, la velocidad con la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que las organizaciones que responden al perfil indicado en dicha área geográfica deben estar alerta.

Esta última ola de actividad fue detectada por primera vez por los investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera del grupo denominada Bisonal. Utilizando el Motor de Atribución de Amenazas de Kaspersky -una herramienta para analizar el código malicioso en busca de similitudes con código desplegado por actores de amenazas conocidos para determinar qué grupo está grupo detrás de un ataque-, vincularon esta muestra a otras 300 que se encontraban “in the wild”.

Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020 al ritmo de unas 20 por mes, lo que pone de relieve el hecho de que CactusPete se está desarrollando rápidamente. De hecho, el grupo ha seguido mejorando sus capacidades, con acceso a código más sofisticado como ShadowPad en 2020.

La funcionalidad de la carga maliciosa sugiere que el grupo está buscando información altamente sensible. Una vez instalado en el dispositivo de la víctima, la puerta trasera Bisonal permite al grupo activar silenciosamente varios programas, finalizar cualquier proceso, cargar/descargar/eliminar archivos y extraer la lista de unidades disponibles. Además, a medida que los operadores se adentran en el sistema infectado, despliegan keyloggers para hacerse con credenciales y descargar malware con elevación de privilegios para obtener gradualmente mayor control sobre el sistema.

En esta campaña, no está claro cómo se lleva a cabo la descarga inicial de la puerta trasera. En el pasado, CactusPete utilizaba técnicas de spear-phishing mediante correos electrónicos que contenían archivos adjuntos maliciosos. Si se abría el archivo adjunto, el dispositivo se infectaba.

"CactusPete" es un grupo de APT bastante interesante porque en realidad no es tan avanzado – incluso considerando la puerta trasera Bisonal. Su éxito no proviene de una tecnología sofisticada o de complejas tácticas de distribución y ofuscación, sino de la aplicación exitosa de tácticas de ingeniería social. Son capaces de tener éxito en la infección de objetivos de alto nivel porque sus víctimas hacen clic en los correos electrónicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qué el phishing sigue siendo un método tan eficaz para lanzar ciberataques y por qué es tan importante que las empresas proporcionen a sus empleados formación para saber detectar esos correos electrónicos y se mantengan al día en la información más reciente sobre las amenazas, de modo que puedan detectar a un actor avanzado", comenta Konstantin Zykov, investigador senior de seguridad de Kaspersky. 

Más información sobre la reciente actividad de CactusPete en Securelist.

Para proteger a las organizaciones de CactusPete y otros APT, los expertos de Kaspersky recomiendan:

• Proporcione a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la información más reciente sobre inteligencia de amenazas, y manténgase al día sobre las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de amenazas y los ciberdelincuentes.
• Para la detección, investigación y remediación de incidentes en el endpoint, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
• Proporcione a su personal una formación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social. Realice una simulación de ataque de phishing para asegurarse de que saben cómo distinguir este tipo de correos electrónicos.
• Para vincular rápidamente nuevas muestras maliciosas con actores de ataque conocidos, implemente el Motor de Atribución de Amenazas de Kaspersky.

Kaspersky

Kaspersky es una compañía global de ciberseguridad fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 250.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es