La actividad de los grupos de Amenazas Avanzadas Persistentes (APT) en el tercer trimestre de 2020 apunta a una tendencia curiosa: mientras muchos actores de amenazas siguen desarrollando y diversificando su kit de herramientas, recurriendo en ocasiones a herramientas extremadamente persistentes y hechas a medida, otros alcanzan sus objetivos con métodos de ataque bien conocidos que han resistido la prueba del tiempo.
Estas y otras tendencias en materia de APT están incluidas en el último informe trimestral de inteligencia de amenazas de Kaspersky.
En el tercer trimestre de 2020, los investigadores de Kaspersky observaron divergencias de enfoque por parte de los actores de amenazas, entre ellos numerosos cambios en las tácticas, técnicas y procedimientos (TTPs) de grupos APT alrededor del mundo, junto con campañas eficaces que utilizaban vectores de infección y kits de herramientas menos sofisticados.
Uno de los hallazgos más destacados del trimestre fue una campaña llevada a cabo por un actor desconocido, que decidió infectar a una de sus víctimas utilizando un bootkit UEFI -un componente de hardware esencial en cualquier dispositivo informático moderno. Este vector de infección formó parte de un framework modular complejo desplegado en varias etapas denominado Mosaic Regressor. La infección de UEFI hizo que el malware implantado en el dispositivo se volviera especialmente persistente y difícil de eliminar. El malware también era capaz de descargar una carga útil diferente en el dispositivo de cada víctima, un enfoque flexible que permitía al actor esconder la carga útil frente a testigos no deseados.
Otros actores recurren a la esteganografía. En un ataque a una telco europea se detectó un nuevo método “in the wild” que aprovechaba el binario de Windows Defender firmado por Authenticode, un programa aprobado e integrado en la solución de seguridad Windows Defender. Una campaña en activo atribuida a Ke3chang utilizó una nueva versión de la puerta trasera Okrum. Esta versión actualizada de Okrum aprovecha un binario de Windows Defender firmado con Authenticode mediante la utilización de una técnica única de carga lateral. Los atacantes utilizaron la esteganografía para esconder la carga útil principal en el archivo ejecutable de Windows Defender, manteniendo a su vez la validez de la firma digital para reducir la posibilidad de detección.
Muchos otros actores siguen actualizando sus kits de herramientas para hacerlos más flexibles y menos proclives a ser detectados. Siguen apareciendo diversos framework multifase “in the wild”, tales como el que ha sido desarrollado por el grupo APT MuddyWater, Esta tendencia también se ha detectado con otros tipos de malware, por ejemplo, la herramienta de acceso remoto (RAT) de Dtrack, que se actualizó con una nueva herramienta que permite al atacante ejecutar una mayor variedad de tipos de carga útil.
Sin embargo, algunos actores siguen utilizando de forma exitosa cadenas de infección sencillas. Un ejemplo de ello es un grupo mercenario que los analistas de Kaspersky denominan DeathStalker. Este APT se dirige principalmente a bufetes de abogados y entidades financieras con el objetivo de sustraer de sus víctimas información sensible y de alto valor. Mediante técnicas que apenas se han modificado desde 2018, DeathStalker ha puesto el foco en evadir la detección, lo que le ha permitido seguir realizando diversos ataques con éxito.
“Mientras algunos actores de amenazas se mantienen consistentes a lo largo del tiempo y se limitan a aprovechar temas de actualidad como la Covid-19 para tentar a sus víctimas a descargar archivos maliciosos, otros grupos reinventan sus kits de herramientas y a sí mismos. A lo largo del último trimestre hemos observado una creciente variedad de las plataformas atacadas, trabajo continuo en nuevas cadenas de infección y la utilización de servicios legítimos como parte de su infraestructura de ataques. En términos generales, para los especialistas en ciberseguridad esto significa que los defensores tienen que invertir más recursos en detectar actividad maliciosa en entornos nuevos y posiblemente legítimos a los que anteriormente se prestaba menos atención. Esto incluye malware escrito con lenguajes de programación menos conocidos, así como a través de servicios legítimos en la nube. Mediante el rastreo de las actividades y los TTP de los actores, podemos seguirles la pista a medida que adoptan nuevas técnicas y herramientas, y así poder estar listos para reaccionar a tiempo ante nuevos ataques”, ha comentado Ariel Jungheit, analista senior de seguridad del Equipo de Análisis e Investigación Global (GReAT) de Kaspersky.
Este informe de tendencias en APT ofrece un buen resumen de los contenidos de los informes exclusivos para suscriptores sobre inteligencia de amenazas, así como información de otras fuentes relativa a importantes avances de relevancia para el sector corporativo. Los informes de inteligencia sobre amenazas de Kaspersky también incluyen datos de Indicadores de Compromiso (IoC), así como reglas Yara y Suricata para ayudar en el trabajo forense y en la detección de malware. Para más información, puede escribir a: intelreports@kaspersky.com
Para evitar ser víctima de un ataque dirigido por un actor de amenazas nuevo o conocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:
- Proveer al equipo SOC de acceso a la última inteligencia sobre amenazas. El portal de inteligencia sobre amenazas de Kaspersky ofrece un punto de acceso único a la inteligencia sobre amenazas de la compañía, ofreciendo datos sobre ciberataques en tiempo real y otros hallazgos detectados por Kaspersky a lo largo de más de 20 años. Para acceder de forma gratuita a funcionalidades seleccionadas del portal que permiten a los usuarios comprobar archivos, enlaces y direcciones IP, haga clic en este enlace.
- Para la detección, investigación y resolución de incidencias a nivel de endpoint, implemente soluciones EDR como Kaspersky Endpoint Detection and Response.
- Además de adoptar protección esencial a nivel de endpoint, implemente una solución de seguridad corporativa que detecte de forma temprana amenazas avanzadas a nivel de red, tal como Kaspersky Anti Targeted Attack Platform.
Lea el informe completo de tendencias APT en el tercer trimestre en Securelist.
Kaspersky
Kaspersky es una compañía global de ciberseguridad fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 250.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
