Los investigadores de Kaspersky han descubierto que el actor de APT de habla china, LuoYu, distribuye el malware WinDealer a través de ataques man-on-the-side [1]. Esta mecánica de propagación permite que el actor de amenazas modifique el tráfico de red en tránsito para inyectar cargas útiles maliciosas. Dichos ataques son particularmente efectivos porque no requieren interacción humana o de otro tipo con el objetivo para una infección exitosa.
Tras los hallazgos de TeamT5 [2], los investigadores de Kaspersky descubrieron un nuevo método utilizado por los actores para propagar el malware WinDealer. Usan un ataque man-on-the-side para leer el tráfico e insertar nuevos mensajes. El concepto de un ataque man-on-the-side es que cuando el atacante ve una solicitud de un recurso específico en la red (ya sea a través de sus habilidades de espionaje o de su propia posición estratégica en la red del ISP), intenta responder. más rápido que el servidor legítimo. Si este es el caso, la computadora de destino usa la información proporcionada por el atacante en lugar de los datos regulares. Incluso si pierden la mayoría de estas "carreras", los atacantes siempre pueden seguir intentándolo hasta que infecten el dispositivo.
El software espía recopila mucha información
Después de un ataque exitoso, el software espía aterriza en el dispositivo de destino, que puede recopilar una variedad de información. Esto permite a los atacantes ver y descargar todos los archivos almacenados en el dispositivo y realizar una búsqueda por palabra clave en todos los documentos. En general, LuoYu se dirige a organizaciones diplomáticas extranjeras con sede en China, instituciones académicas y empresas de defensa, logística y telecomunicaciones. El actor usa WinDealer para atacar máquinas basadas en Windows.
Por lo general, el malware contiene uno o más servidores de comando y control codificados desde los cuales los atacantes controlan el sistema. Con la información adecuada sobre estos servidores, es posible bloquear las direcciones IP de estos servidores con los que interactúa el malware, neutralizando así la amenaza. Sin embargo, WinDealer se basa en un complejo algoritmo de generación de direcciones IP para determinar con qué máquina contactar.
Windealer genera direcciones IP de contacto
Esto cubre un rango de 48.000 direcciones IP posibles, lo que hace que sea casi imposible que el operador controle incluso una pequeña parte de ella. La única forma de explicar este comportamiento de red aparentemente imposible es suponer que los atacantes tienen capacidades significativas de espionaje en este rango de IP e incluso pueden leer paquetes de red que no llegan a un destino.
Tal ataque de hombre al costado es particularmente devastador porque no requiere interacción con el objetivo para resultar en una infección exitosa. Una conexión activa a Internet es suficiente. Además, los usuarios no pueden tomar ninguna medida de protección de manera proactiva, además de enrutar el tráfico de datos a través de otra red. Aunque esto sería posible usando una VPN, es posible que no se use en ciertos países y, en general, no está disponible, especialmente para los ciudadanos chinos.
Alemania también se vio afectada
La gran mayoría de las víctimas de LuoYu se encuentran en China, por lo que los expertos de Kaspersky creen que LuoYu APT se dirigirá principalmente a usuarios de habla china y organizaciones relacionadas con China. Sin embargo, también han notado ataques en otros países, como Alemania, Austria, Estados Unidos, República Checa, Rusia o India.
"LuoYu es un actor de amenazas altamente sofisticado que utiliza métodos que solo están disponibles para los atacantes más avanzados", comenta Suguru Ishimaru, investigador sénior de seguridad del Equipo de análisis e investigación global (GReAT) de Kaspersky. “Solo podemos especular cómo pudieron desarrollar tales habilidades. Los ataques man-on-the-side son extremadamente efectivos porque el único requisito para un ataque en un dispositivo es que esté conectado a Internet. Incluso si el ataque falla la primera vez, los atacantes pueden repetir el proceso continuamente hasta que tengan éxito. Esto permite a los ciberdelincuentes llevar a cabo ataques de espionaje extremadamente peligrosos y exitosos, que suelen tener como objetivo a diplomáticos, científicos y empleados de otros sectores clave. Independientemente de cómo se haya llevado a cabo el ataque, la única forma de protegerse es permanecer muy alerta y emplear prácticas de seguridad sólidas. Esto incluye escaneos antivirus regulares, análisis de tráfico de red saliente y registro extenso para detectar anomalías”.
Recomendaciones de Kaspersky para la protección
- Emplear prácticas de seguridad sólidas que incluyen escaneos antivirus regulares, análisis de tráfico de red saliente y recopilación integral de archivos de retraso para detectar anomalías.
- Llevar a cabo una auditoría de seguridad cibernética de todas las redes y remediar cualquier vulnerabilidad descubierta en o dentro del perímetro de la red.
- Instalación de soluciones anti-APT y EDR que permiten la detección de amenazas, investigación y remediación oportuna de incidentes. El equipo SOC siempre debe tener acceso a los datos de amenazas más recientes y recibir capacitación profesional regular. Todo esto es posible dentro de Kaspersky Expert Security [3].
- Además de la protección integral de puntos finales, los servicios dedicados brindan mayor protección contra ataques. Kaspersky Managed Detection and Response [4] puede ayudar a identificar y detener los compromisos desde el principio, antes de que los atacantes alcancen sus objetivos.
- Threat Intelligence Resource Hub de Kaspersky [5] ofrece acceso gratuito a información independiente, constantemente actualizada y disponible a nivel mundial sobre ciberataques y amenazas actuales para garantizar un alto nivel de seguridad.
[ 2 ] https://teamt5.org
[ 3 ] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[ 4 ] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[ 5 ] https://go.kaspersky.com/uchub Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/