El gobierno filipino es víctima de nuevo grupo de ciberdelincuentes

El gobierno filipino es víctima de un nuevo grupo de ciberdelincuentes dedicado a la suplantación de identidad de organismos gubernamentales.

Nuevo grupo de ciberdelincuentes llamado TA2722 es descubierto por la empresa de ciberseguridad Proofpoint, se trata de un grupo bastante activo y con un modus operandi concreto: «Suplantación de identidad de organismos gubernamentales». Modus operandi que está sufriendo el gobierno de Filipinas.

Varias instituciones gubernamentales de Filipinas han visto suplantada su identidad en una serie de campañas de amenazas a lo largo de este año; todas ellas atribuidas al Grupo TA2722. Entre las instituciones afectadas podemos encontrar: el departamento de salud, la oficina de aduanas o el servicio de empleo en el extranjero. Lamentablemente, no estamos hablando de un caso aislado.

En otras campañas relacionadas, los atacantes se hacían pasar por el consulado de Manila en Arabia Saudí o la empresa DHL en Filipinas para dirigirse con mensajes fraudulentos a empresas en Norteamérica, Europa y el sudeste de Asia pertenecientes a sectores como transporte marítimo, logística, energía, finanzas o farmacéuticas, entre otros. Según Proofpoint, TA2722 tiene en su objetivo a organizaciones directa o indirectamente vinculadas con el Gobierno filipino; y sigue un mismo patrón para suplantar direcciones de correo electrónico y enviar señuelos supuestamente en nombre de estas entidades.

Distribución de Troyanos de Acceso Remoto (RAT’s)

En dichas campañas se distribuían troyanos de acceso remoto (RATs) como Remcos o NanoCore. Estos troyanos sirven para recopilar información, robar datos, vigilar/controlar en remoto ordenadores comprometidos o realizar ataques Business Email Compromise. En el caso de Remcos, se trata de una herramienta que puede adquirirse online; en el caso de NanoCore se suele vender en foros para hackers. Ambos son utilizados por numerosos ciberdelincuentes con diferentes técnicas de entrega y señuelos. En las campañas vinculadas a TA2722, los mensajes maliciosos estaban en inglés y contenían URLs de OneDrive a archivos RAR y otros UUE incrustados: Además, se encontraron PDF adjuntos con enlaces maliciosos a archivos .iso que descargaban y ejecutaban malware. También documentos comprimidos de Excel con macros para enviar malware.

Fuente: cybersecuritynews.es

Comments are closed.