Puede proporcionar al gobierno chino y a las empresas estatales ventajas políticas, económicas y militares

Un actor de amenazas que se presume es de origen chino se ha relacionado con una serie de 10 ataques dirigidos a Mongolia, Rusia, Bielorrusia, Canadá y los EE. UU. de enero a julio de 2021 que involucran el despliegue de un troyano de acceso remoto (RAT) en sistemas infectados, según una nueva investigación.

Las intrusiones se han atribuido a una amenaza persistente avanzada llamada APT31 (FireEye), que es rastreada por la comunidad de ciberseguridad bajo los apodos Zirconium (Microsoft), Judgment Panda (CrowdStrike) y Bronze Vinewood (Secureworks).

El grupo es un "actor de ciberespionaje en nexo con China centrado en obtener información que pueda proporcionar al gobierno chino y a las empresas estatales ventajas políticas, económicas y militares", según FireEye.

Positive Technologies, en un artículo publicado el martes, reveló un nuevo malware dropper que se utilizó para facilitar los ataques, incluida la recuperación de cargas útiles cifradas de la siguiente etapa desde un servidor remoto de comando y control, que posteriormente se decodifican para ejecutarlo en la puerta trasera.

El código malicioso viene con la capacidad de descargar otro malware, lo que podría poner a las víctimas afectadas en mayor riesgo, así como realizar operaciones de archivos, exfiltrar datos confidenciales e incluso borrarse a sí mismo de la máquina comprometida.

signatura digital

"El código para procesar el comando [de auto-eliminación] es particularmente intrigante: todos los archivos creados y las claves de registro se eliminan usando un archivo bat", dijeron los investigadores de Positive Technologies Denis Kuvshinov y Daniil Koloskov.

También es digno de mención particular las similitudes del malware con el de un troyano RAT llamado DropboxAES que fue utilizado el año pasado por el mismo grupo de amenazas y se basó en Dropbox para sus comunicaciones de comando y control (C2), con numerosas superposiciones encontradas en las técnicas y mecanismos utilizados para inyectar el código de ataque, lograr la persistencia y el mecanismo empleado para eliminar la herramienta de espionaje.

ataque de malware espía chino

"Las similitudes reveladas con versiones anteriores de muestras maliciosas descritas por los investigadores, como en 2020, sugieren que el grupo está expandiendo la geografía de sus intereses a países donde se puede detectar su creciente actividad, Rusia en particular", concluyeron los investigadores.

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete

Más leído