Acompáñenos a descorrer el telón digital y descubrir las operaciones, técnicas y repercusiones de cinco grupos clandestinos muy activos que están causando importantes trastornos en todo el panorama cibernético.
A lo largo de la naturaleza humana, a menudo nos sentimos intrigados por el proverbial "malo". Ya sea en el cine, los videojuegos o la literatura, personajes como El Joker, Darth Vader o incluso el Frankenstein de Mary Shelley ocupan un lugar especial en el corazón de al menos algunos de nosotros. Según cybernews.
Por lo general, la gente se siente atraída por la emoción y los elementos de peligro, pero también por la posibilidad de redención en los demás. Esto también se aplica a los ciberdelincuentes, ya que muchos de estos rasgos se encuentran en las diversas bandas de hackers que actualmente causan estragos en todo el mundo. Algunos puntos desencadenantes que despiertan nuestro interés y nos mantienen en vilo.
Aunque la atención de la opinión pública se ha centrado recientemente en grupos de ransomware como Cl0p y su red de extorsión MOVEIT Transfer, todavía existe un grupo más prolífico y antiguo de actores de amenazas. Lejos de desvanecerse en la irrelevancia, estos grupos continúan explotando a nuevas víctimas mientras permanecen firmemente bajo el radar.
En este artículo, mostraremos cinco actores de amenazas muy activos e impactantes que han tenido un impacto notable a lo largo de la primera mitad de 2023, algunos de los cuales siguen activos en el momento de escribir este artículo. Nuestro objetivo es proporcionar al lector información procesable sobre amenazas, que le permita determinar si el actor de la amenaza ha estado activo en su entorno a través de dominios asociados, CVE u otros indicadores de compromiso.
El artículo comenzará con la actividad conocida más reciente basada en fuentes de inteligencia públicas como Cisco Talos, Bleeping Computer, MITRE y varias otras.
Medusa
Conocido principalmente por sus operaciones de caza mayor (Big Game Hunting, BGH) con el ransomware Medusa, este grupo de delincuencia electrónica utiliza equipos coordinados de delincuentes para lograr sus objetivos.
Activo desde al menos 2021, este grupo de amenazas persistentes avanzadas (APT) aún no ha acumulado un gran número de víctimas conocidas, pero sigue siendo persistente. El grupo de ransomware Medusa nombra públicamente a sus víctimas y a quienes se niegan a pagar tanto en un canal de Telegram como en un sitio de filtraciones. Se sabe que Medusa publica los datos de las víctimas mucho antes de que venzan los plazos de pago de los rescates, lo que refleja algunas características vengativas.
Se sabe que el grupo de ransomware Medusa trabaja ocasionalmente con otros grupos APT en capacidades especializadas como 'nixploiter' y 'drumrlu' para llevar a cabo sus operaciones de ciberdelincuencia.
Tácticas, técnicas y procedimientos (TTP) de Medusa
Medusa y sus afiliados favorecen el uso de ataques de phishing basados en SMS, ataques relacionados con spam para desplegar binarios SimpleHelp para el acceso inicial, e históricamente ha aprovechado las siguientes vulnerabilidades para explotar a sus víctimas: CVE-2022-40182 (ProxyNotShell), CVE-2020-0688, CVE-2019-0604.
Medusa también buscará atacar soluciones de acceso remoto comunes como portales VPN o aprovechar ataques de fuerza bruta para adivinar credenciales válidas. Las actividades de exfiltración de datos pueden llevarse a cabo utilizando 'Rclone' u otro servicio.
Lucha contra Ursa
Se cree que Fighting Ursa es una unidad operativa militar rusa que opera dentro de la Unidad de Inteligencia de Señales.
Este adversario ha estado activo desde al menos 2007, con una actividad más directamente atribuible observada por Estados Unidos, Reino Unido y otros gobiernos a partir de 2018. Este grupo APT se centra únicamente en atacar y explotar a los países miembros de la OTAN o a países como Ucrania que buscan ingresar en la OTAN.
Este actor de amenazas también hace propaganda de compromisos exitosos para influir potencialmente en el apoyo público a sus actividades y moldear la opinión sobre las acciones de otras naciones occidentales con las que está en desacuerdo.
Tácticas, técnicas y procedimientos de Fighting Ursa (TTP)
Fighting Ursa parece favorecer los ataques de ingeniería social, como las campañas de spear-phishing que aprovechan dominios ficticios para obtener credenciales y distribuir malware perteneciente a ramas de las familias de software infeccioso Sofacy, X-Agent y GoDown. Fighting Ursa busca infectar dispositivos tradicionales, como estaciones de trabajo, pero algunas de sus infecciones de malware se han observado también en dispositivos móviles.
Se sabe que los operativos que forman parte de Fighting Ursa se desplazan físicamente, muy cerca de las víctimas, antes de ejecutar los ataques. Esto ha alimentado la especulación de que el grupo es un actor nacional bien financiado.
A principios de 2023, Fighting Ursa favoreció el uso de una vulnerabilidad de día cero que afectaba a los clientes de correo electrónico de Microsoft para robar hashes NTLM con el fin de crackearlos. Tras conseguir un punto de apoyo inicial, el grupo busca mantener y extender su influencia a través de redes comprometidas mediante canales de "Mando y Control" (C2), con infecciones repetidas. Los informes públicos señalan que Fighting Ursa sigue utilizando y desarrollando el malware de robo de información OceanSteal (también conocido como CredoMap) para obtener credenciales.
Panda acuático
Se sospecha que Aquatic Panda es un Estado-nación chino que pretende llevar a cabo misiones muy específicas de recopilación de información y espionaje industrial. Presente desde mayo de 2020, se cree que esta amenaza opera bajo las órdenes del Ministerio de Seguridad del Estado (MSS) chino, ayudando a mejorar la seguridad regional, promover la estabilidad económica y avanzar en los esfuerzos de desarrollo tecnológico.
Aquatic Panda destaca por su capacidad para crear una infraestructura de mando y control expansiva, creando nuevos nodos entre campañas.
Tácticas, técnicas y procedimientos (TTP) de Aquatic Panda
Centrado en Asia, Aquatic Panda utiliza principalmente las familias de malware Cobalt Strike, Winnti y Spyder para explotar a las víctimas, pero también trata de identificar y explotar las vulnerabilidades de Log4j como parte de sus esfuerzos de reconocimiento.
Aquatic Panda trata de ampliar su infraestructura de mando y control (C2) mediante el establecimiento de nuevos nodos y el compromiso de servidores activos de GlassFish y Cloudflare. El grupo también disfruta utilizando Acunetix para el escaneo de vulnerabilidades de aplicaciones web con el fin de centrar los ataques iniciales.
Aquatic Panda se asocia a menudo con la explotación de sus víctimas a través de las siguientes vulnerabilidades: CVE-2019-18935, CVE-2021-34473, CVE-2021-21978, CVE-2019-9621, CVE-2021-34523, CVE-2021-22205, entre otras.
Tortuga marina
Al igual que Aquatic Panda, Sea Turtle es un supuesto actor del Estado-nación con un método similar de realizar operaciones de recopilación de inteligencia para el gobierno regional del que procede.
Sea Turtle ha estado activo al menos desde 2017, pero saltó a la fama en 2019 a través de informes públicos generalizados de campañas de secuestro de DNS. Las operaciones de Sea Turtle han cobrado impulso en la primera mitad de 2023, alterando su principal táctica de explotación de secuestro de DNS a un compromiso organizativo completo contra las víctimas seleccionadas.
Las actividades de ciberdelincuencia llevadas a cabo por Sea Turtle se han desplazado a agencias de telecomunicaciones internacionales en el último período, lo que pone de relieve el uso generalizado de herramientas personalizadas para lograr una explotación exitosa.
Tácticas, técnicas y procedimientos (TTP) de Sea Turtle
Sea Turtle favorece la explotación de las víctimas a través de una amplia gama de exploits conocidos que van desde 2009 hasta exploits más modernos como Log4J.
El reconocimiento de la red se lleva a cabo a menudo con herramientas tradicionales de hacking ético como Nmap, Socat, cURL, fscan y el módulo wmiexec de Impacket, pero el uso de herramientas de hacking personalizadas es una de las técnicas favoritas de este grupo APT, que suele descargar GitHub a medida que se desarrollan los ataques.
Los defensores deben ser conscientes de los siguientes CVEs que este mal actor disfruta explotando más y priorizar la remediación: CVE-2021-4034, CVE-2018-0296, CVE-2014-6271, CVE-2009-1151, CVE-2017-6736, CVE-2020-2034, CVE-2021-26084, CVE-2017-3881, CVE-2018-7600, CVE-2017-12617.
Víbora árida
Activa desde 2014, Arid Viper parece limitar sus operaciones principales a partes de Oriente Próximo, el norte de África y regiones concretas de Asia.
Esta amenaza se dirige a todo tipo de sistemas operativos, desde Windows hasta dispositivos móviles e iOS. Su principal modus operandi es realizar espionaje y comprometer a sus víctimas a través de la ingeniería social (es decir, sitios web o aplicaciones de citas falsas), o mediante el uso de kits de malware personalizados.
Arid Viper, al igual que su homónimo del desierto, desea permanecer oculto hasta que necesita atacar. Muchos de los programas maliciosos atribuidos a este actor de amenazas se basan en variantes de la familia de malware "Micropsia". Recientemente se ha atribuido a Arid Viper el uso de kits de malware personalizados desarrollados en el lenguaje de programación Go y, en concreto, el programa malicioso 'AridGopher'.
Tácticas, técnicas y procedimientos (TTP) de Arid Viper
Arid Viper implementa una operación estándar de reconocimiento y recopilación de datos que implica el uso de dominios recién registrados a través de registradores como NameCheap o VPSMalaysia que suelen seguir una convención de nomenclatura predecible pero aleatoria de nombre.apellido[@]dominio[.]com.
Recientemente se ha desviado de esta táctica, posiblemente por ser demasiado consistente, y puede haber cambiado a registros de dominios más aleatorios. Se sabe que la Infraestructura Arid Viper C2 utiliza Apache 2.4.4x o Laravel.
Aunque utiliza principalmente la familia de malware Micropsia, también se ha observado que Arid Viper distribuye cargas útiles de malware VolatileVenom (una RAT para Android) y KasperAgent.
Fuente: somoslibres
