Los analistas de Kaspersky Lab alertan de un nuevo ataque de NetTraveller (también conocido como “Travnet” o “Netfile” o “Red Star APT”), una ciberamenaza muy avanzada que ya había infectado a cientos de víctimas de alto perfil en más de 40 países. Algunas de las víctimas conocidas son activistas tibetanos, compañías petroleras, centros e institutos de investigación científica, universidades, compañías privadas, gobiernos y organismos gubernamentales, embajadas y bases militares.
Inmediatamente después de que se dieran a conocer las operaciones de NetTraveller en junio de 2013, los atacantes cerraron todos los dominios y controles del sistema y los trasladaron a nuevos servidores en China, Hong Kong y Taiwan; continuando con los ataques indiscriminadamente, como está ocurriendo ahora.
Durante los últimos días, se enviaron varios emails de phishing a diferentes activistas de Uyghur. El exploit Java que distribuye esta nueva variante de Red Star APT (parcheado en junio de 2013) ha tenido mucho más éxito que el anterior, que usaba Office exploits, y para el que se ideó un parche de Microsoft en abril de 2013 (CVE-2012-0158).
Además de la utilización de la plataforma para enviar phishing vía email, creadores de APT han adoptado la técnica de watering hole (redireccionamiento web y drive-by en las descargas de dominios) para infectar a las víctimas que navegan por la web.
Durante el último mes, Kaspersky Lab ha interceptado y bloqueado una serie de intentos de infección del dominio "wetstock[punto]org", un sitio ya relacionado con los ataques de NetTraveler anteriores. Estas redirecciones parecen proceder de otros sitios web uigures comprometidos e infectados por los atacantes NetTraveler.
Los expertos de Kaspersky Lab afirman que podrían integrarse nuevos exploits que ataquen de forma dirigida, por lo que ofrecen las siguientes recomendaciones para mantenerse a salvo de los mismos:
- Actualizar Java o, en caso de no utilizar Java, desinstalarlo.
- Actualizar Microsoft Windows y Office con la última versión disponible.
- Actualizar cualquier otro software, como Adobe Reader.
- Utilizar un navegador seguro, como Google Chrome, que tiene un desarrollo mucho más avanzado que Internet Explorer.
- No pinchar en links ni abrir adjuntos de personas desconocidas.
“Hasta ahora, no hemos observado la utilización de vulnerabilidades zero-day en el grupo NetTraveller. Los parches ayudan, pero para protegernos mejor, podemos utilizar tecnologías como Automatic Explot Prevention y DefaultDeny, que son muy efectivas contra amenazas avanzadas y persistentes”, afirma Costin Raiu, director del GREAT de Kaspersky.
Para obtener más información sobre el ataque NetTraveller: Securelist.com
