Grupos avanzados de amenazas persistentes "APT Groups"

APT

Una Advanced Persistent Threat o amenaza persistente avanzada, esta conformada por un conjunto de procesos informáticos sigilosos y continuos, dirigidas a penetrar la seguridad informática de una entidad específica. Una APT, generalmente, establece sus objetivos en organizaciones o naciones por motivos de negocios o políticos. El proceso avanzado involucra sofisticadas técnicas que utilizan software malicioso para explotar vulnerabilidades en los sistemas. El término ‘persistente’ sugiere que existe un control y monitorización externos para la extracción de datos de un objetivo específico de forma continua. El término ‘amenaza’ indica la participación humana para orquestar el ataque. APT, normalmente, esta relacionado a un grupo, tal como un gobierno, tanto con la capacidad como con la intención de dirigirse de forma persistente y eficaz contra una entidad específica.

La empresa de ciber seguridad FireEye, hace un enfoque especial a los grupos de amenazas persistentes avanzadas (APT) que reciben orientación y asistencia de un estado o nación establecido. Al igual que otros atacantes, los grupos APT intentan robar datos, interrumpir operaciones o destruir infraestructura. A diferencia de la mayoría de los ciberdelincuentes, los atacantes de APT persiguen sus objetivos durante meses o años. Se adaptan a las defensas cibernéticas y con frecuencia redirigen a la misma víctima. El hecho de que tenga variantes de malware vinculadas a APT en su sistema no significa que sea un objetivo de APT. Pero un equipo de seguridad debe conocer los grupos APT más activos y tomar precauciones adicionales cuando detecte malware vinculado a ataques APT previos.

 

APT37

Sospecha de atribución: Corea del Norte

Sectores objetivo: principalmente Corea del Sur, aunque también Japón, Vietnam y Oriente Medio, en varios sectores verticales de la industria, incluidos los productos químicos, la electrónica, la fabricación, la industria aeroespacial, la automoción y la sanidad.

Descripción general: El análisis de la actividad reciente de APT37 revela que las operaciones del grupo se están expandiendo en alcance y sofisticación, con un conjunto de herramientas que incluye acceso a vulnerabilidades de día cero y malware de limpiador. Se evalua con gran confianza que esta actividad se lleva a cabo en nombre del gobierno de Corea del Norte, debido a los artefactos de desarrollo de malware y la focalización que se alinea con los intereses estatales de Corea del Norte. FireEye iSIGHT Intelligence cree que APT37 está alineado con la actividad públicamente reportada como Scarcruft y Group123.

Malware asociado: un conjunto diverso de malware para intrusión inicial y exfiltración. Junto con el malware personalizado utilizado con fines de espionaje, APT37 también tiene acceso a malware destructivo.

Vectores de ataque: tácticas de ingeniería social adaptadas específicamente a los objetivos deseados, compromisos web estratégicos típicos de operaciones de ciberespionaje dirigidas y el uso de sitios de intercambio de archivos torrent para distribuir malware de manera más indiscriminada. Explotación frecuente de vulnerabilidades en Hangul Word Processor (HWP), así como en Adobe Flash. El grupo ha demostrado tener acceso a las vulnerabilidades de día cero (CVE-2018-0802) y la capacidad de incorporarlas a las operaciones.


 

APT34

Sospecha de atribución: Irán

Sectores objetivo: este grupo de amenazas ha llevado a cabo una amplia selección de objetivos en una variedad de industrias, incluidas las financieras, gubernamentales, de energía, químicas y de telecomunicaciones, y ha centrado en gran medida sus operaciones en Medio Oriente.

Descripción: Se cree que APT34 está involucrado en una operación de ciberespionaje a largo plazo enfocada principalmente en esfuerzos de reconocimiento para beneficiar intereses estatales iraníes y que ha estado operando desde al menos 2014. Se evalua que APT34 trabaja en nombre del gobierno iraní basado en infraestructura detalles que contienen referencias a Irán, uso de la infraestructura iraní y focalización que se alinea con los intereses del estado nación.

Malware asociado: POWBAT, POWRUNER, BONDUPDATER

Vectores de ataque: en su última campaña, APT34 aprovechó la reciente vulnerabilidad de Microsoft Office CVE-2017-11882 para implementar POWRUNER y BONDUPDATER.

 

APT33

Sospecha de atribución: Irán

Sectores objetivo: aeroespacial, energía

Descripción general: APT33 tiene organizaciones específicas, que abarcan múltiples industrias, con sede en los EE. UU., Arabia Saudita y Corea del Sur. El APT33 ha mostrado un interés particular en las organizaciones del sector de la aviación involucradas tanto en capacidades militares como comerciales, así como en organizaciones del sector energético vinculadas a la producción petroquímica.

Malware asociado: SHAPESHIFT, DROPSHOT, TURNEDUP, NANOCORE, NETWIRE, ALFA Shell

Vectores de ataque: APT33 envió correos electrónicos de spear-phishing a empleados cuyos trabajos estaban relacionados con la industria de la aviación. Estos correos electrónicos incluían señuelos temáticos de reclutamiento y enlaces contenidos a archivos maliciosos de aplicaciones HTML (.hta). Los archivos .hta contenían descripciones de trabajo y enlaces a publicaciones de trabajo legítimas en sitios web de empleo populares que serían relevantes para las personas seleccionadas.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Etiquetas

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA,