Kaspersky ya identificó ataques contra organizaciones militar-industriales e instituciones públicas en Europa del Este y Afganistán a principios de agosto. El malware utilizado es similar al de un grupo APT de habla china.
Kaspersky ICS CERT ha identificado una serie de ataques dirigidos contra plantas industriales, institutos de investigación, agencias gubernamentales, ministerios y oficinas en varios países de Europa del Este, incluidos Rusia, Ucrania y Bielorrusia, así como en Afganistán. Los actores de APT pudieron tomar el control de toda la infraestructura de TI de las víctimas y participar en el espionaje industrial.
Ataques a empresas y organizaciones militares
En enero de 2022, los expertos de Kaspersky descubrieron varios ataques avanzados contra empresas militares y organizaciones públicas, incluidas plantas industriales, oficinas de diseño, institutos de investigación, agencias gubernamentales, ministerios y departamentos, con el objetivo de robar información confidencial y obtener el control de los sistemas de TI. El malware utilizado por los atacantes es similar al de TA428 APT, un grupo APT de habla china.
Los atacantes objetivo se infiltran en las redes corporativas a través de correos electrónicos de phishing selectivo cuidadosamente elaborados, algunos de los cuales contienen información específica de la organización objetivo que no era pública en el momento en que se envió el correo electrónico. Los correos electrónicos de phishing contenían un documento de Microsoft Word con código malicioso para explotar una vulnerabilidad que permite que se ejecute código arbitrario sin actividad adicional. La vulnerabilidad existe en versiones obsoletas de Microsoft Equation Editor, un componente de Microsoft Office.
Uso de seis puertas traseras diferentes
Los atacantes utilizaron simultáneamente seis puertas traseras diferentes para configurar canales de comunicación adicionales con los sistemas infectados en caso de que una solución de seguridad detectara y eliminara uno de los programas maliciosos. Estas puertas traseras brindan una amplia funcionalidad para controlar los sistemas infectados y recopilar datos confidenciales. La fase final del ataque consistía en apoderarse del controlador de dominio y obtener el control completo de todas las estaciones de trabajo y servidores de la empresa. En un caso, los atacantes incluso pudieron apoderarse del centro de control de las soluciones de ciberseguridad. Después de obtener los derechos de administrador del dominio y el acceso a Active Directory, los atacantes realizaron un ataque llamado "boleto dorado" para hacerse pasar por las cuentas de usuario de cualquier organización y buscar documentos y otros archivos que contengan datos confidenciales de la organización atacada. Los atacantes alojaron los datos extraídos en servidores en diferentes países.
Ataques de boletos dorados
"Los ataques de boletos dorados utilizan el Protocolo de autenticación predeterminado, que se ha utilizado desde la disponibilidad de Windows 2000", explica Vyacheslav Kopeytsev, experto en seguridad de ICS CERT Kaspersky. “Al falsificar los vales de concesión de vales (TGT) de Kerberos dentro de la red corporativa, los atacantes pueden acceder a cualquier servicio que pertenezca a la red de forma indefinida. Como resultado, simplemente cambiar contraseñas o bloquear cuentas comprometidas no es suficiente. Nuestra recomendación: revise cuidadosamente toda actividad sospechosa y use soluciones de seguridad confiables”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/