{"id":6243,"date":"2019-08-15T16:44:35","date_gmt":"2019-08-15T21:44:35","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=6243"},"modified":"2019-08-15T16:44:43","modified_gmt":"2019-08-15T21:44:43","slug":"la-apt-cloud-atlas-actualiza-su-arsenal-de-ataque-con-malware-polimorfico","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/la-apt-cloud-atlas-actualiza-su-arsenal-de-ataque-con-malware-polimorfico\/","title":{"rendered":"La APT Cloud Atlas actualiza su arsenal de ataque con malware polim\u00f3rfico"},"content":{"rendered":"\n

Bogot\u00e1 \u2013 Colombia, agosto de 2019<\/p>\n\n\n\n

Cloud Atlas, una Amenaza Persistente Avanzada (APT), tambi\u00e9n conocida como Inception, ha actualizado su arsenal de ataque con nuevas herramientas que permiten evadir los sistemas de detecci\u00f3n de los Indicadores de Compromiso est\u00e1ndares. Esta cadena de infecci\u00f3n actualizada ya ha sido detectada en diversas organizaciones del este de Europa, Asia Central y Rusia.<\/strong>\u00a0<\/p>\n\n\n\n

Cloud Atlas es un actor de ciberamenazas con una amplia trayectoria en operaciones de ciberespionaje contra el sector industrial, agencias estatales y otras entidades. Fue identificado por primera vez en 2014 y desde entonces permanece activo. Recientemente, sectores como el de econom\u00eda y aeroespacial, as\u00ed como a organizaciones religiosas y de la Administraci\u00f3n P\u00fablica de diversos pa\u00edses han sido el blanco de Cloud Atlas. Entre estos pa\u00edses afectaos se encuentran Portugal, Ruman\u00eda, Turqu\u00eda, Ucrania, Rusia, Turkmenist\u00e1n, Afganist\u00e1n y Kirguist\u00e1n. Tras su infiltraci\u00f3n exitosa, Cloud Atlas realiza las siguientes acciones:<\/p>\n\n\n\n

\u00b7 Recopilar informaci\u00f3n sobre el sistema al que haya logrado acceder.<\/p>\n\n\n\n

\u00b7 Registrar las claves de acceso.<\/p>\n\n\n\n

\u00b7 Ex filtrar archivos .txt, .pdf y .xls a un servidor de comando y control.<\/p>\n\n\n\n

Si bien Cloud Atlas no ha cambiado sus t\u00e1cticas de forma radical, nuevas investigaciones efectuadas desde 2018 revelan que ha empezado a implementar una forma novedosa para infectar a sus v\u00edctimas y que realiza movimientos laterales a trav\u00e9s de la red. <\/p>\n\n\n\n

Anteriormente, Cloud Atlas enviaba primero un email de spear phishing con un archivo adjunto de contenido malicioso.  En el caso de una explotaci\u00f3n exitosa, PowerShower -el malware incorporado en el adjunto, utilizado para el reconocimiento inicial y posterior descarga de m\u00f3dulos maliciosos adicionales- se ejecutaba de manera que los ciberatacantes pudiesen proceder con una operaci\u00f3n.<\/p>\n\n\n\n

La cadena de infecci\u00f3n recientemente actualizada retrasa la ejecuci\u00f3n de PowerShower hasta una etapa posterior: en cambio, tras la infecci\u00f3n inicial, una aplicaci\u00f3n HTML maliciosa se descarga y se ejecuta en la m\u00e1quina objetivo. A continuaci\u00f3n, la aplicaci\u00f3n recopila informaci\u00f3n inicial sobre el ordenador atacado, y despu\u00e9s descarga y ejecuta VBShower \u2013 otro m\u00f3dulo malicioso. VBShower procede a eliminar las pruebas de la presencia de malware en el sistema y realiza consultas a trav\u00e9s de servidores comando y control para decidir acciones futuras. En funci\u00f3n del comando recibido, el malware se descargar\u00e1 y ejecutar\u00e1 PowerShower u otra conocida puerta trasera de segunda etapa de Cloud Atlas.<\/p>\n\n\n\n

Aunque esta nueva cadena de infecci\u00f3n es generalmente mucho m\u00e1s complicada que el modelo anterior, el principal diferenciador es que la aplicaci\u00f3n HTML maliciosa y el m\u00f3dulo VBShower son polim\u00f3rficos. De esta forma el c\u00f3digo en ambos m\u00f3dulos ser\u00e1 nuevo y \u00fanico en cada caso. Seg\u00fan los expertos de Kaspersky, la versi\u00f3n actualizada se utiliza para hacer el malware invisible a las soluciones de seguridad que conf\u00edan en los Indicadores de Compromiso m\u00e1s conocidos.<\/p>\n\n\n\n

\u201cSe ha establecido como una buena pr\u00e1ctica en la comunidad de ciberseguridad compartir los Indicadores de Compromiso (IoC) de las operaciones maliciosas que identificamos en nuestras investigaciones. Esta pr\u00e1ctica nos permite responder con rapidez a las operaciones internacionales de ciberespionaje actualmente en marcha, y evitar que estas generen da\u00f1os mayores. Sin embargo, tal y como preve\u00edamos <\/em>ya en 2016<\/em><\/a>, IoC se ha vuelto obsoleto como herramienta fiable para detectar un ataque dirigido en la red. El primero fue ProjectSauron, que creaba una serie IoC \u00fanica para cada v\u00edctima y continu\u00f3 con la tendencia de utilizar herramientas de fuente abierta en operaciones de ciberespionaje en vez de herramientas a medida. Esta tendencia ahora continua con este ejemplo reciente de malware polim\u00f3rfico. Esto no significa que sea m\u00e1s dif\u00edcil atrapar a los actores, sino que las habilidades de ciberseguridad y el kit de herramientas de los defensores tienen que evolucionar en paralelo al kit de herramientas y las habilidades de los actores maliciosos que persiguen\u201d, <\/em>coment\u00f3 Felix Aime, investigador de seguridad del Equipo de An\u00e1lisis e Investigaci\u00f3n Global de Kaspersky.
<\/p>\n\n\n\n

Kaspersky recomienda a las organizaciones que se protejan ante ataques dirigidos con soluciones mejoradas con Indicadores de Ataque (IoA) que se centren en las t\u00e1cticas, t\u00e9cnicas y acciones que los ciberdelincuentes adoptan cuando se preparan para un ataque. Los IoA hacen el seguimiento de las t\u00e9cnicas desplegadas, sin importar las herramientas espec\u00edficas que se utilicen. Las \u00faltimas versiones de Kaspersky Endpoint Detection and Response, y Kaspersky Anti Targeted Attack incorporan una nueva base de datos de IoA, mantenida y actualizada por los investigadores de ciberamenazas de Kaspersky.<\/p>\n\n\n\n

Otras recomendaciones de Kaspersky para las empresas<\/strong><\/p>\n\n\n\n