La importancia de tener un WordPress actualizado
5 agosto, 2020
5 ventajas de tener correo corporativo
17 diciembre, 2020
Una cronología detallada de un ataque de espionaje APT chino dirigido a instituciones gubernamentales del sudeste asiático
Los investigadores de Bitdefender han investigado recientemente un ataque de espionaje complejo y dirigido a posibles víctimas del sector gubernamental en el sudeste asiático, llevado a cabo por un sofisticado grupo chino de APT. La operación se remonta a fines de 2018, con evidencia forense actual después de la línea de tiempo del ataque hasta 2020.
Esta investigación se centra en analizar un ataque APT y proporcionar un informe completo sobre las herramientas, tácticas y técnicas utilizadas por el grupo sofisticado durante el ataque.
Si bien el incidente ha sido mencionado por otros investigadores de seguridad, la investigación de Bitdefender se centra en ofrecer un cronograma detallado del ataque reuniendo todas las pruebas forenses y creando un ejemplo de estudio de caso. El informe también proporciona un análisis técnico de las herramientas utilizadas en este ataque dirigido y cómo los componentes estaban vinculados entre sí.
El ataque tiene un complejo y completo arsenal de goteros, puertas traseras y otras herramientas que involucran puertas traseras Chinoxy, PCShare RAT y binarios de puerta trasera FunnyDream, con artefactos forenses que apuntan a un actor chino sofisticado. Se sabe que algunos de estos troyanos de acceso remoto (RAT) de código abierto son de origen chino, junto con algunos otros recursos configurados en chino. La puerta trasera de FunnyDream es mucho más compleja que las demás, implementando una amplia gama de mecanismos de persistencia y una gran cantidad de goteros, lo que sugiere que está hecha a medida.
Resultados clave:
- Posible grupo chino de APT dirigido a un gobierno del sudeste asiático
- Persistencia a través de binarios firmados digitalmente vulnerables a la carga lateral de una puerta trasera en la memoria
- Amplio conjunto de herramientas personalizadas para exploración y exfiltración de datos
- Se utilizan tres puertas traseras (Chinoxy, PcShare, FunnyDream)
- Controladores de dominio potencialmente comprometidos, obteniendo control sobre la red de la víctima
- Primera cronología detallada de este ataque y las herramientas, tácticas y técnicas utilizadas
- Alrededor de 200 máquinas mostraron signos de tener varias herramientas asociadas al grupo APT
Información de Bitdefender Oficial
