En los últimos tres meses, la principal actividad de los agentes de Amenazas Persistentes Avanzadas se ha centrado en los ataques a la cadena de suministro y exploits de día cero.
En los últimos tres meses, la principal actividad de los agentes de Amenazas Persistentes Avanzadas se ha centrado en los ataques a la cadena de suministro y exploits de día cero. La introducción de una puerta trasera que comprometió el software para monitorización de infraestructuras, Orion IT de SolarWinds, afectó a las redes de más de 18.000 clientes, mientras que una vulnerabilidad en Microsoft Exchange Server llevó a nuevas campañas en Europa, Rusia y Estados Unidos. Estas son algunas de las conclusiones más importantes del informe sobre APT correspondiente al primer trimestre de 2021 de Kaspersky.
Los actores de amenazas APT cambian continuamente sus tácticas, perfeccionan sus herramientas y lanzan nuevas oleadas de actividad. Por eso, para mantener a los usuarios y a las organizaciones informados sobre las amenazas a las que se enfrentan, el equipo de Investigación y Análisis Global de Kaspersky (GReAT) proporciona informes trimestrales sobre los desarrollos más importantes en el panorama de las amenazas persistentes avanzadas. Este último trimestre, tomaron nota de dos grandes oleadas de actividad.
La primera fue impulsada al verse comprometido el código de SolarWinds, proveedor de servicios gestionados de TI, y su plataforma de software Orion IT para la supervisión de infraestructuras de TI. Esto llevó a la instalación de una puerta trasera personalizada conocida como Sunburst en las redes de más de 18.000 clientes. Muchos de ellos eran grandes empresas y organismos gubernamentales de Norteamérica, Europa, Oriente Medio y Asia.
Tras un examen más detallado, los investigadores de Kaspersky encontraron similitudes con otra puerta trasera previamente identificada como Kazuar, descubierta por primera vez en 2017 y vinculada presuntamente al grupo APT Turla. Esto sugiere que los atacantes detrás de Kazuar y Sunburst podrían estar relacionados de alguna forma.
La segunda oleada de actividad se originó por exploits de día cero, ya parcheados, en Microsoft Exchange Server. A principios de marzo, un nuevo actor de APT conocido como HAFNIUM fue descubierto aprovechando estos exploits para lanzar una serie de "ataques limitados y dirigidos". Durante la primera semana de marzo, aproximadamente 1.400 servidores únicos fueron atacados, la mayoría en Europa y Estados Unidos. Algunos de ellos, incluso varias veces, lo que indica que fueron varios los grupos que estaban utilizando las vulnerabilidades. De hecho, a mediados de marzo, descubrimos otra campaña que usaba estos mismos exploits dirigidos a Rusia y que mostraba algunos vínculos con HAFNIUM, así como con grupos de actividad previamente conocidos que Kaspersky ha estado investigando.
Asimismo, se informó de un nuevo grupo de actividad del grupo APT Lazarus, que también utilizaba exploits de día cero. Esta vez, el grupo utilizó la ingeniería social para convencer a los investigadores de seguridad de que descargaran un archivo de proyecto de Visual Studio comprometido o para atraer a las víctimas a su blog, tras lo cual se instalaba un exploit de Chrome. Los señuelos solían girar en torno a los ataques de día cero y se orientaban a robar investigaciones sobre vulnerabilidades. La primera oleada se produjo en enero y la segunda en marzo, a la que se sumó una nueva de perfiles falsos en redes sociales y una empresa falsa para engañar eficazmente a las víctimas previstas.
Tras un examen más detallado, los investigadores de Kaspersky observaron que el malware utilizado en la campaña coincidía con ThreatNeedle, un backdoor desarrollado por Lazarus y visto recientemente dirigido a la industria de la defensa a mediados de 2020.
Otra interesante campaña de exploits de día cero -denominada TurtlePower- se ha visto dirigida a entidades gubernamentales y de telecomunicaciones en Pakistán y China y se cree que está vinculada con el grupo BitterAPT. El origen de la vulnerabilidad, ahora parcheada, parece estar relacionado con "Moses", un broker que ha desarrollado al menos cinco exploits en los últimos dos años, algunos de los cuales han sido utilizados tanto por BitterAPT como por DarkHotel.
"Quizás la mayor conclusión del último trimestre es lo destructivos que pueden ser los ataques a la cadena de suministro. Es probable que pasen varios meses antes de que se conozca el alcance total del ataque de SolarWinds. La buena noticia es que toda la comunidad de seguridad está hablando ahora de este tipo de ataques y de lo que podemos hacer al respecto. Lo ocurrido en estos tres primeros meses del año también nos ha recordado la importancia de parchear los dispositivos lo antes posible. Los exploits de día cero seguirán siendo una forma muy eficaz y habitual para que los grupos APT comprometan a sus víctimas, incluso de forma sorprendentemente creativa, como ha demostrado la reciente campaña de Lazarus", comenta Ariel Jungheit, investigador de seguridad senior de GReAT.
El informe de tendencias de APT del primer trimestre resume los resultados de los informes de inteligencia de amenazas exclusivos para suscriptores de Kaspersky, que también incluyen datos de Indicadores de Compromiso (IOC) y reglas YARA para ayudar en el análisis forense y la búsqueda de malware. Para más información, póngase en contacto con: intelreports@kaspersky.com
Lea más sobre el panorama de las amenazas APT Q1 en Securelist.
Para proteger a su empresa de la actividad de las amenazas persistentes avanzadas, los expertos de Kaspersky recomiendan:
- Instalar los parches para cada nueva vulnerabilidad lo antes posible. Una vez descargado, los actores de amenazas ya no pueden aprovecharse de la vulnerabilidad.
- Realizar una auditoría de seguridad periódica de la infraestructura de TI de la organización para revelar brechas y vulnerabilidades en los sistemas.
- Las funcionalidades de gestión de vulnerabilidades y parches de una solución de protección de endpoints pueden simplificar significativamente la tarea de los responsables de seguridad informática.
- Instale soluciones anti APT y EDR, que permitan descubrir y detectar amenazas, investigar y remediar oportunamente los incidentes. Proporcione a su equipo SOC acceso a la última información sobre amenazas y actualícelo regularmente con formación profesional. Todo lo anterior está disponible en el marco de Kaspersky Expert Security.
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
