El grupo de ciberataques patrocinado por el estado conocido como Billbug logró comprometer una autoridad de certificación digital (CA) como parte de una campaña de espionaje de amplio alcance que se extendió hasta marzo, un desarrollo preocupante en el libro de jugadas de amenazas persistentes avanzadas (APT), advierten los investigadores.
Los certificados digitales son archivos que se utilizan para firmar software como válido y verificar la identidad de un dispositivo o usuario para permitir conexiones cifradas. Como tal, un compromiso de CA podría dar lugar a una legión de ataques sigilosos de seguimiento.
“La orientación de una autoridad de certificación es notable, ya que si los atacantes pudieran comprometerla con éxito para acceder a los certificados, podrían usarlos para firmar malware con un certificado válido y ayudar a evitar la detección en las máquinas de las víctimas”, según para informar esta semana de Symantec. "También podría potencialmente usar certificados comprometidos para interceptar el tráfico HTTPS".
"Esto es potencialmente muy peligroso", señalaron los investigadores.
Una avalancha continua de compromisos cibernéticos
Billbug (también conocido como Lotus Blossom o Thrip) es un grupo de espionaje con sede en China que se dirige principalmente a víctimas en el sudeste asiático. Es conocido por la caza mayor, es decir, por perseguir los secretos que guardan las organizaciones militares, las entidades gubernamentales y los proveedores de comunicaciones. A veces arroja una red más amplia, insinuando motivaciones más oscuras: en un caso anterior, se infiltró en un operador aeroespacial para infectar las computadoras que monitorean y controlan los movimientos de los satélites.
En la última serie de actividades nefastas, la APT golpeó a un panteón de agencias gubernamentales y de defensa en toda Asia, en un caso infestando “una gran cantidad de máquinas” en una red gubernamental con su malware personalizado.
“Esta campaña estuvo en curso desde al menos marzo de 2022 hasta septiembre de 2022, y es posible que esta actividad esté en curso”, dice Brigid O Gorman, analista senior de inteligencia de Symantec Threat Hunter Team. “Billbug es un grupo de amenazas establecido desde hace mucho tiempo que ha llevado a cabo múltiples campañas a lo largo de los años. Es posible que esta actividad pueda extenderse a organizaciones o geografías adicionales, aunque Symantec no tiene evidencia de eso en este momento”.
Un enfoque familiar para los ciberataques
En esos objetivos, así como en la CA, el vector de acceso inicial ha sido la explotación de aplicaciones vulnerables de cara al público. Después de obtener la capacidad de ejecutar código, los actores de amenazas continúan instalando sus puertas traseras Hannotog o Sagerunex conocidas y personalizadas antes de profundizar en las redes.
Para las últimas etapas de la cadena de eliminación, los atacantes de Billbug usan múltiples binarios que viven de la tierra (LoLBins), como AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail y WinRAR, según el informe de Symantec.
Se puede abusar de estas herramientas legítimas para varios usos dobles, como consultar Active Directory para mapear una red, comprimir archivos para exfiltración, descubrir rutas entre puntos finales, escanear NetBIOS y puertos e instalar certificados raíz del navegador, sin mencionar la descarga de malware adicional. .
Las puertas traseras personalizadas combinadas con herramientas de doble uso son una huella familiar, ya que la APT las utilizó en el pasado. Pero la falta de preocupación por la exposición pública es par para el curso para el grupo.
“Es notable que Billbug parece no dejarse intimidar por la posibilidad de que se le atribuya esta actividad, con la reutilización de herramientas que han estado vinculadas al grupo en el pasado”, dice Gorman.
Agrega: “El uso intensivo del grupo de vivir de la tierra y las herramientas de doble uso también es notable, y subraya la necesidad de que las organizaciones cuenten con productos de seguridad que no solo puedan detectar malware, sino también también reconocer si se están utilizando potencialmente herramientas legítimas de manera sospechosa o maliciosa”.
Symantec ha notificado a la CA anónima en cuestión para informarle sobre la actividad, pero Gorman se negó a ofrecer más detalles sobre su respuesta o esfuerzos de remediación.
Si bien hasta el momento no hay indicios de que el grupo haya podido comprometer los certificados digitales reales, el investigador advierte: "Las empresas deben ser conscientes de que el malware podría firmarse con certificados válidos si los actores de amenazas pueden lograr el acceso a las autoridades de certificación".
En general, las organizaciones deben adoptar una estrategia de defensa en profundidad, utilizando múltiples tecnologías de detección, protección y refuerzo para mitigar el riesgo en cada punto de una cadena de ataque potencial, dice.
“Symantec también recomendaría implementar una auditoría y un control adecuados del uso de cuentas administrativas”, señaló Gorman. “También sugerimos crear perfiles de uso para las herramientas de administración, ya que los atacantes utilizan muchas de estas herramientas para moverse lateralmente sin ser detectados a través de una red. En general, la autenticación multifactor (MFA) puede ayudar a limitar la utilidad de las credenciales comprometidas”.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
