Ciberpiratas chinos, apuntan a empresas globales de logística y servicios públicos

BeyGoo

Uno de los grupos de amenazas más prolíficos de China, APT41, está llevando a cabo una campaña sostenida de ciberespionaje dirigida a organizaciones de múltiples sectores, incluidos el transporte marítimo y la logística global, los medios y el entretenimiento, la tecnología y la industria automotriz.

El actor de amenaza persistente avanzada (APT) parece haber lanzado la nueva campaña en algún momento a principios de 2023. Desde entonces, el grupo se ha infiltrado con éxito en múltiples redes de víctimas y ha mantenido un acceso prolongado a ellas, dijo esta semana el grupo de seguridad Mandiant de Google en un análisis conjunto con Grupo de análisis de amenazas (TAG) de Google. La mayoría de las organizaciones afectadas están ubicadas en Reino Unido, Italia, España, Taiwán, Tailandia y Turquía.

APT41 es una especie de descriptor general para un colectivo de actores de amenazas con sede en China involucrados en ciberespionaje, ataques a la cadena de suministro y delitos cibernéticos con motivación financiera en todo el mundo desde al menos 2012. A lo largo de los años, los investigadores de seguridad han identificado múltiples subgrupos como parte de el colectivo APT41, que incluye Wicked Panda, Winnti, Suckfly y Barium. Estos grupos han robado secretos comerciales, propiedad intelectual, datos relacionados con la atención médica y otra información confidencial de organizaciones y entidades estadounidenses de todo el mundo en nombre del gobierno chino. En 2020, el gobierno de Estados Unidos acusó a cinco miembros de APT41 de participar o contribuir a ataques a más de 100 empresas en todo el mundo. Sin embargo, hasta ahora esas acusaciones han hecho poco para disuadir las actividades del grupo.

Casi todas menos una de las organizaciones objetivo en el sector de envío y logística tenían su sede en Medio Oriente y Europa, mientras que todas las organizaciones a las que APT41 apuntó en el sector de medios y entretenimiento estaban ubicadas en Asia. Muchas víctimas dentro de los sectores de transporte marítimo y logística tienen operaciones en múltiples continentes, ya sea como subsidiarias o afiliadas de grandes empresas multinacionales del mismo sector, dijeron los investigadores de Mandiant.

«Un análisis de las organizaciones de víctimas dentro de sectores específicos revela una distribución geográfica notable», dijeron los investigadores de Mandiant en su blog.

Además, «Mandiant ha detectado actividad de reconocimiento dirigida a organizaciones similares que operan en otros países como Singapur», escribió el proveedor de seguridad. «En el momento de la publicación, ni Mandiant ni Google TAG tienen ningún indicador de que estas organizaciones estén comprometidas por APT41, pero podría indicar potencialmente un alcance ampliado de la focalización».

Los investigadores de Mandiant también dijeron que habían observado a los actores de APT41 utilizando una variedad de herramientas personalizadas en su campaña en curso, incluidas aquellas para lanzar malware en los sistemas de destino, establecer puertas traseras, moverse lateralmente en redes comprometidas y extraer datos de ellas. Las herramientas incluyen dos shells web para la persistencia, llamados AntsWord y BlueBeam, que el actor de amenazas ha estado usando para descargar un cuentagotas llamado DustPan, que a su vez intenta cargar la herramienta posterior al compromiso Beacon en los sistemas víctimas.

Además de esto, Mandiant dijo que observó que APT41 utiliza un marco de complemento de múltiples etapas nunca visto llamado DustTrap para descifrar cargas maliciosas y ejecutarlas en la memoria para permitir la comunicación entre el sistema comprometido y los sistemas e infraestructura controlados por APT-41. «DustPan ha sido utilizado por APT41 ya en 2021, pero DustTrap se vio por primera vez en esta actividad», dice Ben Read, jefe de análisis de ciberespionaje de Mandiant.

Otras herramientas que los actores de APT41 han implementado efectivamente en la campaña actual incluyen malware denominado SQLULDR2 para copiar datos de bases de datos Oracle y PineGrove para extraer grandes volúmenes de datos de una red comprometida a una cuenta de OneDrive para analistas posteriores.

Hasta ahora, no se ha hallado evidencia que sugiera que APT41 esté buscando monetizar sus ataques en la campaña actual de alguna manera. «Sin embargo, no tenemos una visión completa de la actividad posterior al compromiso, por lo que no podemos decirlo con certeza».

Sendmarc

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.