Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

La campaña CommonMagic APT amplía el alcance objetivo al centro y oeste de Ucrania

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 145

Woburn, MA – 19 de mayo de 2023 – Los investigadores de Kaspersky han proporcionado más detalles sobre el ComúnMagia campaña, que se observó por primera vez en marzo dirigida a empresas en la zona de conflicto ruso-ucraniana. La nueva investigación revela actividades maliciosas más sofisticadas del mismo actor de amenazas. La investigación identificó que el marco recién descubierto ha ampliado su victimología para incluir organizaciones en el centro y oeste de Ucrania. Los expertos de Kaspersky también han relacionado al actor desconocido con campañas APT anteriores, como Operation BugDrop y Operation Groundbai (Prikormka).

En marzo de 2023, Kaspersky reportaron una nueva campaña APT en la zona de conflicto ruso-ucraniana. Esta campaña, denominada CommonMagic, utiliza implantes PowerMagic y CommonMagic para realizar actividades de espionaje. Activo desde septiembre de 2021, emplea un malware no identificado previamente para recopilar datos de entidades específicas. Aunque el actor de amenazas responsable de este ataque seguía siendo desconocido en ese momento, los expertos de Kaspersky han persistido en su investigación, rastreando la actividad desconocida hasta campañas olvidadas para recopilar más información.

La campaña descubierta recientemente utilizó un marco modular llamado CloudWizard. La investigación de Kaspersky identificó un total de 9 módulos dentro de este marco, cada uno responsable de distintas actividades maliciosas, como la recopilación de archivos, el registro de teclas, la captura de capturas de pantalla, la grabación de la entrada del micrófono y el robo de contraseñas. En particular, uno de los módulos se enfoca en extraer datos de las cuentas de Gmail. Al extraer las cookies de Gmail de las bases de datos del navegador, este módulo puede acceder y contrabandear registros de actividad, listas de contactos y todos los mensajes de correo electrónico asociados con las cuentas objetivo.

Además, los investigadores han descubierto una distribución ampliada de víctimas en la campaña. Si bien los objetivos anteriores estaban ubicados principalmente en las regiones de Donetsk, Lugansk y Crimea, el alcance ahora se ha ampliado para incluir personas, entidades diplomáticas y organizaciones de investigación en Ucrania occidental y central.

Después de una extensa investigación sobre CloudWizard, los expertos de Kaspersky lograron un progreso significativo al atribuirlo a un actor de amenazas conocido. Han observado notables similitudes entre CloudWizard y dos campañas previamente documentadas: Operation Groundbait y Operation BugDrop. Estas similitudes incluyen similitudes de código, nombres de archivos y patrones de listados, alojamiento en servicios de alojamiento ucranianos y perfiles de víctimas compartidos en Ucrania occidental y central, así como en el área de conflicto en Europa del Este.

Además, CloudWizard también exhibe similitudes con la campaña recientemente informada CommonMagic. Algunas secciones del código son idénticas, emplean la misma biblioteca de cifrado, siguen un formato de nombre de archivo similar y comparten las ubicaciones de las víctimas dentro del área de conflicto de Europa del Este.

Con base en estos hallazgos, los expertos de Kaspersky concluyeron que las campañas maliciosas de Prikormka, Operation Groundbait, Operation BugDrop, CommonMagic y CloudWizard pueden atribuirse al mismo actor de amenazas activo.  

“El actor de amenazas responsable de estas operaciones ha demostrado un compromiso persistente y continuo con el ciberespionaje, mejorando continuamente su conjunto de herramientas y apuntando a organizaciones de interés durante más de quince años”, dijo Georgy Kucherin, investigador de seguridad del Equipo de Análisis e Investigación Global de Kaspersky. “Los factores geopolíticos continúan siendo un motivador importante para los ataques de APT y, dada la tensión que prevalece en el área de conflicto ruso-ucraniana, anticipamos que este actor persistirá con sus operaciones en el futuro previsible”.

Lea el informe completo sobre la campaña CloudWizard en Securelist.

Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los investigadores de Kaspersky recomiendan implementar las siguientes medidas:

  • Proporcione a su equipo de SOC acceso a la inteligencia de amenazas (TI) más reciente. El portal de inteligencia de amenazas de Kaspersky es un único punto de acceso para TI de la empresa, que le proporciona información y datos sobre ataques cibernéticos recopilados por Kaspersky durante más de 20 años.
  • Mejore las habilidades de su equipo de ciberseguridad para abordar las últimas amenazas dirigidas con Capacitación en línea de Kaspersky desarrollado por expertos de GReAT
  • Para la detección, investigación y corrección oportuna de incidentes a nivel de punto final, implemente soluciones EDR como Detección y respuesta de Kaspersky Endpoint
  • Además de adoptar la protección esencial para endpoints, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en el nivel de la red en una etapa temprana, como Plataforma Kaspersky Anti Targeted Attack
  • Dado que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social, presente capacitación en concientización sobre seguridad y enseñe habilidades prácticas a su equipo, por ejemplo, a través de la Plataforma de concientización sobre seguridad automatizada de Kaspersky
punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.