Aunque piratear a alguien con ataques de phishing fue fácil hace una década, la evolución de las tecnologías de detección de amenazas y la conciencia cibernética entre las personas ha frenado el éxito de los ataques de phishing y de ingeniería social a lo largo de los años.
Dado que el phishing es una oportunidad única para los piratas informáticos antes de que sus víctimas lo sospechen y probablemente no caigan en el mismo truco, los grupos de piratería sofisticados han comenzado a poner mucho esfuerzo, tiempo e investigación para diseñar un phishing bien diseñado campañas
En una de estas últimas campañas descubiertas por investigadores de ciberseguridad en Check Point, un grupo de piratería chino, conocido como Rancor, se ha encontrado realizando ataques muy selectivos y extensivos contra entidades gubernamentales del sudeste asiático desde diciembre de 2018 hasta junio de 2019.
Lo interesante de esta campaña en curso de 7 meses es que durante este período, el grupo Rancor ha actualizado continuamente tácticas, herramientas y procedimientos (TTP) en función de sus objetivos en un esfuerzo por encontrar contenido de correo electrónico de phishing y parece que los documentos de señuelo parecen estar tan convincente como sea posible.
«Los ataques observados comenzaron con correos electrónicos enviados en nombre de empleados de diferentes departamentos gubernamentales, embajadas o entidades relacionadas con el gobierno en un país del sudeste asiático», se lee en un informe publicado por CheckPoint y compartido en privado con The Hacker News antes de su lanzamiento.
«Los atacantes parecían decididos a alcanzar ciertos objetivos, ya que se enviaron decenas de correos electrónicos a los empleados de los mismos ministerios. Además, el origen de los correos electrónicos probablemente fue falsificado para hacerlos parecer más confiables».
Tácticas, herramientas y procedimientos en continua evolución
Los investigadores descubrieron diferentes combinaciones de TTP en función de su línea de tiempo, entrega, persistencia y cargas útiles, y luego las combinaron en 8 variantes principales, como se detalla a continuación en este artículo.
Cada variante de ataque comenzó con un correo electrónico clásico de spear phishing que contenía un documento malicioso diseñado para ejecutar macros y explotar vulnerabilidades conocidas para instalar una puerta trasera en las máquinas de las víctimas y obtener acceso completo a los sistemas.
La mayoría de los documentos de entrega en esta campaña contenían temas legítimos relacionados con el gobierno, como instrucciones para empleados gubernamentales, cartas oficiales, comunicados de prensa, encuestas y más, aparentemente enviados por otros funcionarios gubernamentales.
Curiosamente, como parte de la cadena de infección, en la mayoría de las campañas, los atacantes también traen sus propios ejecutables legítimos, firmados y confiables de los principales productos antivirus para evitar los archivos DLL maliciosos (biblioteca de enlaces dinámicos) para evadir la detección, especialmente de los productos de monitoreo de comportamiento.
Como se muestra en las ilustraciones anteriores, los ejecutables legítimos abusados pertenecen a productos antivirus que incluyen un componente de Avast antivirus, el agente de BitDefender y el defensor de Windows.
Aunque las cadenas de ataque involucran actividades sin archivos como el uso de macros VBA, código PowerShell y herramientas integradas legítimas de Windows, esta campaña no está diseñada para lograr un enfoque sin archivos como los investigadores le dijeron a The Hacker News que otras partes de la campaña exponen actividades maliciosas al sistema de archivos.
«Hasta la fecha, no hemos visto un ataque tan persistente contra un gobierno; los mismos ataques fueron el objetivo durante 7 meses. Creemos que el gobierno de EE. UU. Debería tomar nota», advirtieron los investigadores cuando se acercan las elecciones estadounidenses.
«Para atacar al gobierno de los EE. UU., Estos piratas informáticos chinos no tendrían que cambiar mucho, excepto hacer sus documentos de señuelo en inglés e incluir temas que despertarían el interés de la víctima para que la víctima abriera el archivo».
Anteriormente, se descubrió que el grupo de piratería de Rancor atacaba Camboya y Singapur y continuó sus operaciones contra entidades dentro de la región del sudeste asiático, y esta vez el grupo ha puesto 7 meses de su esfuerzo en apuntar al sector gubernamental del sudeste asiático.
«Esperamos que el grupo continúe evolucionando, cambiando constantemente sus TTP de la misma manera que observamos a lo largo de la campaña, así como impulsando sus esfuerzos para eludir los productos de seguridad y evitar la atribución», concluyeron los investigadores.
Para obtener más información sobre el grupo Rancor y su última campaña, puede dirigirse al informe CheckPoint titulado » Rancor: El año del phishing «.
Fuente: thehackernews.com