Gaza Cybergang y su campaña SneakyPastes

10 Abr 2019

En la conferencia Security Analyst Summit (SAS) de Kaspersky, ya es tradición que hablemos de los ataques de APT, de hecho, fue allí donde publicamos por primera vez información sobre Slingshot, Carbanak y Careto. Los ataques dirigidos están al alza y este año no ha sido la excepción: en la SAS 2019 en Singapur, hablamos de un grupo de APT llamado Gaza Cybergang.

Un arsenal variado

Gaza Cybergang está especializado en ciberespionaje y su acción se limita a Oriente Medio y países de Asia Central. Su objetivo principal son los políticos, diplomáticos, periodistas, activistas y otros ciudadanos políticamente activos de la región.

En cuanto al número de ataques que registramos desde enero del 2018 hasta enero del 2019, los objetivos que encabezan la lista se encuentran dentro del territorio palestino. También hubo intentos de infección en Jordania, Israel y Líbano. En sus ataques, la banda utilizó métodos y herramientas de distintos grados de complejidad.

Nuestros expertos han identificado tres subgrupos en la banda y ya hemos cubierto dos de ellos. Uno fue el responsable de la campaña los Halcones del desierto y el otro estaba detrás de los ataques personalizados conocidos como Operation Parliament.

Bien, ahora toca hablar del tercero, al que llamaremos MoleRATs. El grupo cuenta con herramientas relativamente simples, aunque su campaña SneakyPastes (nombrada así por el uso de pastebin.com) no resulta para nada inofensiva.

SneakyPastes

La campaña presenta múltiples etapas. Comienza con phishing, enviando correos desde direcciones y dominios de un solo uso. A veces, los correos contienen enlaces hacia malware o archivos adjuntos infectados. Si la víctima ejecuta el archivo adjunto (o si accede al enlace), su dispositivo se infectará con el malware Stage One, programado para activar la cadena de infección.

Los correos, que buscan apaciguar la desconfianza del lector, suelen estar relacionados con la política: negociaciones políticas o discursos de organizaciones de prestigio.

Una vez alojado en el ordenador, el malware One Stage intenta afianzar su posición, se esconde de cualquier solución antivirus y oculta el servidor de mando.

Los atacantes utilizan servicios públicos (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com y pomf.cat) para las etapas posteriores del ataque (incluyendo el envío del malware) y, sobre todo, para comunicarse con el servidor de mando. Normalmente, utilizan diversos métodos a la vez para enviar la información extraída.

Por último, el dispositivo acaba infectado con el malware RAT, que concede un gran poder a los ciberdelincuentes, como descargar y cargar libremente archivos, ejecutar aplicaciones, buscar documentos y cifrar información.

El malware analiza el ordenador de la víctima con el fin de localizar todos los archivos PDF, DOC, DOCX y XLSX, los guarda en carpetas temporales, los clasifica, archiva y cifra y, finalmente, los envía a un servidor de mando mediante una cadena de dominios.

Hemos identificado múltiples herramientas en este tipo de ataque. Si quieres conocer más acerca de ellas y obtener información más técnica, no te pierdas esta publicación de Securelist.

Protección integrada contra amenazas integradas

Nuestros productos están destinados a combatir con éxito los componentes utilizados en la campaña SneakyPastes. Si quieres evitar ser una de las víctimas, sigue estos consejos:

  • Enseña a tus empleados a reconocer los correos peligrosos, ya sean mensajes en cadena o personalizados; los ataques de Gaza Cybergang comienzan con phishing. Nuestra plataforma interactiva Kaspersky ASAP no solo proporciona esa información, sino que además imparte las competencias necesarias.
  • Utiliza soluciones integradas diseñadas para hacer frente a ataques complejos y de múltiples etapas, que pueden complicar la gestión de las soluciones básicas de antivirus. Para enfrentar los ataques a nivel de red, recomendamos un paquete compuesto por Kaspersky Anti Targeted Attack y Kaspersky Endpoint Detection and Response.
  • Si tu empresa emplea un servicio de seguridad informática, te recomendamos suscribirte a los informes detallados de Kaspersky Lab, donde ofrecemos detalles de las ciberamenazas actuales. Puedes adquirir una suscripción enviando un correo a intelreports@kaspersky.com