16 Dec 2017

Un grupo de ciberespionaje tiene como target a gobiernos sudamericanos y del Sudeste Asiático

El Grupo usa el malware modular Felismus y tiene un interés particular en la política exterior sudamericana. Por Symantec Security Response   México, Ciudad de México, 7 de noviembre 2017 - Symantec Corporation (NASDAQ: SYMC), identificó a un grupo

El Grupo usa el malware modular Felismus y tiene un interés particular en la política exterior sudamericana.
Por Symantec Security Response
 
México, Ciudad de México, 7 de noviembre 2017 – Symantec Corporation (NASDAQ: SYMC), identificó a un grupo previamente desconocido apodado Sowbug que ha estado llevando a cabo ciberataques principalmente dirigidos contra organizaciones en América del Sur y el Sudeste Asiático y parece estar muy centrado en instituciones de política exterior y objetivos diplomáticos. Se ha visto a Sowbug organizar ataques de espionaje clásicos al robar documentos de las organizaciones en las que se infiltra.
Symantec vio la primera evidencia de actividad relacionada con Sowbug con el descubrimiento en marzo de 2017 de un malware completamente nuevo llamado “Felismus” utilizado contra un objetivo en el Sudeste Asiático. Posteriormente, identificamos más víctimas en ambos lados del Océano Pacífico. Si bien la herramienta Felismus se identificó por primera vez en marzo de este año, su asociación con Sowbug era desconocida hasta ahora. Symantec también ha podido conectar campañas de ataque anteriores con Sowbug, lo que demuestra que ha estado activo desde principios de 2015 y puede haber estado operando incluso antes.
Hasta la fecha, Sowbug parece enfocarse principalmente en entidades gubernamentales en América del Sur y el Sudeste Asiático y se ha infiltrado en organizaciones en Argentina, Brasil, Ecuador, Perú, Brunei y Malasia. El grupo tiene muchos recursos, es capaz de infiltrarse en múltiples objetivos simultáneamente y a menudo operará fuera de los horarios de trabajo de las oficinas que son el target con el fin de mantener un bajo perfil.
Intromisiones altamente dirigidas
Algunas pistas sobre la motivación y los intereses de los atacantes se pueden encontrar en las actividades realizadas después de comprometer a las víctimas. Por ejemplo, en un ataque de 2015 contra un ministerio de relaciones exteriores sudamericano, el grupo parecía estar buscando información muy específica. La primera evidencia de su intromisión data del 6 de mayo de 2015, pero la actividad pareció haber comenzado en serio el día 12 de mayo. Los atacantes parecían estar interesados en la división del ministerio responsable de las relaciones con la región Asia-Pacífico.
Intentaron extraer todos los documentos de Word almacenados en un servidor de archivos perteneciente a esta división al agruparlos en un archivo RAR ejecutando el siguiente comando:
cmd.exe /c c:\windows\rar.exe a -m5 -r -ta20150511000000 -v3072 c:\recycler\[REDACTED].rar “\\[REDACTED]\*.docx” \\[REDACTED]\*.doc.
Curiosamente, el comando especificó que solo los archivos modificados desde el 11 de mayo 2015 en adelante debían archivarse. Los atacantes parecen haber extraído el archivo con éxito porque una hora más tarde regresaron, esta vez intentando extraer todos los documentos modificados a partir del 7 de mayo de 2015, un valor adicional de cuatro días de datos. Posiblemente, o bien no encontraron lo que estaban buscando en la incursión inicial, o bien notaron algo en los documentos que robaron antes que los impulsó a buscar más información.
Los atacantes no se detuvieron allí. El siguiente paso fue enumerar las unidades compartidas remotas y luego intentar acceder a los recursos compartidos remotos pertenecientes a la oficina gubernamental específica a la que apuntaban, una vez más intentando extraer todos los documentos de Word. En este caso, buscaron cualquier documento modificado a partir del 9 de mayo. Los atacantes entonces parecieron ampliar su interés, enumerando los contenidos de varios directorios en acciones remotas, incluso uno que pertenece a otra división del Ministerio de Asuntos Exteriores Sudamericano, este responsable de las relaciones con organizaciones internacionales. También desplegaron dos cargas útiles desconocidas en el servidor infectado. En total, los atacantes mantuvieron una presencia en la red del objetivo durante cuatro meses entre mayo y septiembre de 2015.

Review overview
NO COMMENTS

Sorry, the comment form is closed at this time.