Con su nuevo APT - Advanced Persistent Threat - Activity Report, ESET proporciona una descripción general periódica de las actividades de los grupos de piratas informáticos y examina sus acciones en detalle. Los grupos de Rusia, Corea del Norte, Irán y China son muy activos.
Los piratas informáticos vinculados a Rusia como Sandworm, Gamaredon, Turla o InvisiMole siguen teniendo a Ucrania como objetivo principal. Las empresas aeroespaciales y de defensa son populares entre los actores conectados con Corea del Norte. Los grupos iraníes centran sus actividades en Israel. Una empresa de alimentos alemana también fue objetivo de un grupo APT vinculado a China. En general, los investigadores de ESET no pudieron detectar ninguna disminución en la actividad entre los diversos grupos de piratas informáticos. El informe actual cubre el período de mayo a agosto de 2022.
Industria, Secretos, Chantaje
"Las industrias aeroespacial y de defensa siguen siendo de gran interés para los grupos aliados con Corea del Norte. Por ejemplo, Lazarus apuntó a un empleado de una empresa aeroespacial en los Países Bajos. Según nuestra investigación, el grupo aprovechó una vulnerabilidad en un controlador Dell legítimo para infiltrarse en la empresa. Creemos que esta es la primera explotación registrada de esta vulnerabilidad en la naturaleza”, dijo Jan-Ian Boutin, Director de ESET Threat Research. “También descubrimos que varios grupos aliados con Rusia han abusado del servicio de mensajería Telegram para acceder a los servidores de comando y control o para filtrar información confidencial. Los actores de la APT de otras regiones también intentaron acceder a las organizaciones ucranianas, tanto para el ciberespionaje como para el robo de propiedad intelectual”, continúa Boutin.
Criptomonedas: otro campo de actividad para los grupos APT
Las instituciones financieras y las empresas que trabajan con criptomonedas fueron el objetivo de Kimsuky de Corea del Norte y dos campañas del Grupo Lazarus. Una de estas acciones, denominada Operación In(ter)ception por los investigadores de ESET, se desvió de sus objetivos habituales en las industrias aeroespacial y de defensa. Una sola persona de Argentina fue atacada con malware disfrazado de oferta de trabajo en Coinbase. ESET también descubrió que el grupo Konni usa una técnica utilizada por Lazarus en el pasado: una versión troyanizada del Sumatra PDF Viewer.
Los grupos de China a menudo usan puertas traseras
Los grupos con sede en China continuaron siendo muy activos. Aprovecharon varias vulnerabilidades y puertas traseras no reportadas previamente. Así identificó ESET la variante Linux de un backdoor utilizado por SparklingGoblin contra una universidad de Hong Kong. En otro caso, el mismo grupo usó una vulnerabilidad de Confluence para atacar una empresa de procesamiento de alimentos en Alemania y una empresa de ingeniería en los Estados Unidos. ESET Research también sospecha que una vulnerabilidad de ManageEngine ADSelfService Plus está detrás del compromiso de un contratista de defensa de EE. UU. Sus sistemas fueron atacados solo dos días después de que se publicara la vulnerabilidad. En Japón, ESET identificó varias campañas del grupo Mirrorface, una de las cuales estaba directamente relacionada con las elecciones a la cámara alta del parlamento.
Los grupos iraníes tienen a Israel en el punto de mira
El creciente número de grupos vinculados a Irán continuó enfocando sus esfuerzos principalmente en varias industrias israelíes. Los investigadores de ESET pudieron atribuir una acción dirigida a una docena de organizaciones a POLONIUM e identificaron varias puertas traseras no documentadas previamente. Agrius apuntó a empresas y entidades involucradas o asociadas con la industria del diamante en Sudáfrica, Hong Kong e Israel.
Los expertos de ESET creen que se trata de un ataque a la cadena de suministro, que abusa del software basado en Israel utilizado en esta área. Otra campaña en Israel encontró evidencia de una posible superposición en el uso de herramientas entre los grupos MuddyWater y APT35. ESET Research también detectó una nueva versión de malware para Android en una campaña realizada por el grupo APT-C-50. Fue distribuido por un sitio web iraní imitador y tenía capacidades de espionaje limitadas.
A través del Informe de actividad de APT de ESET
Complementario al Informe de amenazas de ESET, ESET Research publica el Informe de actividad de APT de ESET, que tiene como objetivo proporcionar una descripción general periódica de los conocimientos de ESET sobre la actividad de Amenazas persistentes avanzadas (APT). La primera edición cubre el período de mayo a agosto de 2022. Está previsto que el informe se publique inmediatamente junto con el Informe de amenazas de ESET.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.