Investigadores de seguridad han advertido sobre una campaña de piratería masiva, en la que un grupo chino de ciberespionaje ha estado atacando a organizaciones de todo el mundo explotando fallas en aplicaciones y dispositivos comerciales populares de compañías como Cisco, Citrix y Zoho. Los países seleccionados incluyen Australia, Canadá, Dinamarca, Finlandia, Francia, India, Italia, Japón, Malasia, México, Filipinas, Polonia, Qatar, Arabia Saudita, Singapur, Suecia, Suiza, Emiratos Árabes Unidos, el Reino Unido y los Estados Unidos.
«Entre el 20 de enero y el 11 de marzo, FireEye observó el intento APT41 de explotar vulnerabilidades en Citrix NetScaler / ADC, enrutadores Cisco y Zoho ManageEngine Desktop Central en más de 75 clientes de FireEye», dijeron investigadores de la firma de seguridad FireEye en un nuevo informe .
También describieron la operación como una de «las campañas más amplias de un actor chino de ciberespionaje que hemos observado en los últimos años».
La lista de industrias específicas incluye banca / finanzas, construcción, base industrial de defensa, gobierno, salud, alta tecnología, educación superior, legal, manufactura, medios de comunicación, sin fines de lucro, petróleo y gas, petroquímica, farmacéutica, bienes raíces, telecomunicaciones, transporte , viajes y servicios públicos.
«No está claro si APT41 escaneó Internet e intentó la explotación en masa o seleccionó un subconjunto de organizaciones específicas para atacar, pero las víctimas parecen ser más específicas en la naturaleza», anotaron los investigadores.
Los piratas informáticos primero explotaron CVE-2019-19781, una vulnerabilidad que afecta a los productos Citrix ADC y Gateway. El grupo solo trató de explotar los dispositivos Citrix, lo que sugiere que APT41 estaba operando con una lista ya conocida de dispositivos identificados accesibles en Internet.
Según el informe, APT41 comenzó a explotar la vulnerabilidad el 20 de enero. Luego, los atacantes aparentemente tomaron un descanso entre el 23 de enero y el 1 de febrero, que coincide con el Año Nuevo Lunar chino, y del 2 al 19 de febrero, que podría estar relacionado con COVID-19 medidas de cuarentena de coronavirus implementadas en China.
«Si bien es posible que esta reducción en la actividad esté relacionada con las medidas de cuarentena de COVID-19 en China, APT41 puede haber permanecido activo de otras maneras, que no pudimos observar con la telemetría FireEye», dijeron los investigadores.
En febrero, los piratas informáticos APT41 comprometieron con éxito un enrutador Cisco RV320 en una empresa de telecomunicaciones al explotar dos vulnerabilidades (CVE-2019-1653 y CVE-2019-1652) que afectan a los enrutadores Cisco RV320 y RV325.
A principios de marzo, el grupo comenzó a explotar CVE-2020-10189, una vulnerabilidad de ejecución remota de código en la solución Zoho ManageEngine Desktop Central, para la cual los detalles y una explotación de prueba de concepto se publicaron en línea el 5 de marzo (antes del proveedor ha abordado la falla).
En la campaña reciente, APT41 se observó utilizando solo herramientas disponibles públicamente como Meterpreter y Cobalt Strike.
“Si bien estas puertas traseras tienen todas las funciones, en incidentes anteriores APT41 ha esperado para implementar malware más avanzado hasta que hayan entendido completamente dónde estaban y realizaron algún reconocimiento inicial. En 2020, APT41 continúa siendo una de las amenazas más prolíficas que FireEye rastrea actualmente. Esta nueva actividad de este grupo muestra cuán ingeniosos y qué tan rápido pueden aprovechar las vulnerabilidades recientemente reveladas para su ventaja ”, concluye FireEye.
Fuente: seguridadyfirewall.cl