El grupo de ciberespionaje chino APT31 comienza a atacar a Rusia

El grupo de piratas informáticos APT31, vinculado a China, ha utilizado nuevos programas maliciosos en ataques recientes dirigidos a Mongolia, Bielorrusia, Canadá, Estados Unidos y, por primera vez, Rusia, según la empresa de ciberseguridad empresarial Positive Technologies.

También rastreado como Judgment Panda, Zirconium y Red Keres, se cree que APT31 trabaja en nombre del gobierno chino, realizando campañas de ciberespionaje contra objetivos de interés para el país.

En julio de 2021, el grupo fue acusado oficialmente de atacar las vulnerabilidades de los servidores de Microsoft Exchange, en nombre de China, y Francia advirtió del continuo abuso de APT31 de los routers hackeados en los ataques maliciosos.

Estados Unidos Acusan A China Por Los Ataques A Microsoft Exchange | CronUp  Ciberseguridad

Se cree que el grupo ha lanzado al menos 10 ciberataques entre enero y julio de 2021, entregando un troyano de acceso remoto (RAT) y dirigiéndose principalmente a entidades de Mongolia, Rusia, Bielorrusia, Canadá y Estados Unidos.

Según Positive Technologies, es la primera vez que este grupo de amenazas en particular tiene como objetivo Rusia, y las pruebas sugieren que al menos algunos de los objetivos eran organizaciones gubernamentales.

Como parte de la actividad, los ciberespías emplearon un nuevo dropper de malware que aprovecha el sideloading de DLL para ejecutar la carga útil maliciosa en la máquina objetivo (junto con la biblioteca maliciosa, el dropper despliega y ejecuta en la máquina comprometida una aplicación vulnerable al sideloading de DLL).

La biblioteca maliciosa imita el archivo legítimo MSVCR100.dll que utiliza la aplicación Visual Studio de Microsoft, en un intento de ocultar la actividad nefasta.

Durante su investigación sobre las actividades del grupo de hackers, los investigadores de seguridad de Positive Technologies descubrieron varias versiones del dropper, incluida una que descarga todos los archivos del servidor de comando y control.

«También cabe destacar que en algunos casos, especialmente durante los ataques a Mongolia, el dropper estaba firmado con una firma digital válida», dicen los investigadores, que evalúan que lo más probable es que la firma haya sido robada.

La biblioteca maliciosa que utiliza el dropper es la responsable de buscar y ejecutar el payload principal.

Una vez desplegado, el malware espera las órdenes del servidor. En función de ellas, puede recopilar información sobre las unidades, buscar archivos, crear un proceso, crear un nuevo flujo, crear un directorio o borrarse a sí mismo.

Dadas las numerosas similitudes con la RAT DropboxAES que Secureworks atribuyó previamente a APT31, Positive Technologies concluyó que estaban ante una variante del mismo malware, que sólo mostraba pequeñas diferencias. Sin embargo, no se observaron solapamientos entre las infraestructuras de red de las muestras de malware detectadas.

«Las similitudes reveladas con versiones anteriores de muestras maliciosas descritas por los investigadores, como en 2020, sugieren que el grupo está ampliando la geografía de sus intereses a países donde se puede detectar su creciente actividad, Rusia en particular. Creemos que pronto se revelarán más casos de utilización de este grupo en ataques»

concluye Positive Technologies.

Fuente: securityweek

Comments are closed.