Investigadores de seguridad cibernética de Facebook vincularon formalmente hoy las actividades de un actor de amenazas vietnamita con una empresa de TI en el país después de que se descubriera que el grupo abusaba de su plataforma para piratear las cuentas de las personas y distribuir malware.
Rastreados como APT32 (o Bismuth, OceanLotus y Cobalt Kitty), los operativos alineados con el estado afiliados al gobierno de Vietnam son conocidos por orquestar sofisticadas campañas de espionaje al menos desde 2012 con el objetivo de promover los intereses estratégicos del país.
«Nuestra investigación vinculó esta actividad con CyberOne Group, una empresa de TI en Vietnam (también conocida como CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet y Diacauso)», dijo el jefe de política de seguridad de Facebook, Nathaniel Gleicher, y Cyber Threat. Gerente de Inteligencia, Mike Dvilyanski, dijo.
No se reveló el rastro de evidencia exacto que llevó a Facebook a atribuir la actividad de piratería a CyberOne Group, pero según una descripción en ITViec, una plataforma en línea vietnamita para encontrar y publicar vacantes de trabajo para profesionales de TI y desarrolladores de software, la compañía se anuncia a sí misma como una «multinacional». empresa «con foco en el desarrollo de» productos y servicios para garantizar la seguridad de los sistemas de TI de las organizaciones y empresas «.
Como informó Reuters anteriormente, su sitio web parece haber sido desconectado. Sin embargo, una instantánea capturada por Internet Archive el 9 de diciembre muestra que la compañía había estado buscando activamente contratar probadores de penetración, cazadores de amenazas cibernéticas y analistas de malware con competencia en Linux, C, C ++ y .NET.
CyberOne, en un comunicado dado a Reuters, también negó que fuera el grupo OceanLotus.
La larga historia de ataques de APT32
El desenmascaramiento de APT32 por parte de Facebook se produce meses después de que Volexity revelara múltiples campañas de ataque lanzadas a través de múltiples sitios web falsos y páginas de Facebook para generar perfiles de usuarios, redirigir a los visitantes a páginas de phishing y distribuir cargas útiles de malware para Windows y macOS.
Además, ESET reportó un operación similar se difundió a través de la plataforma de redes sociales en diciembre de 2019, utilizando publicaciones y mensajes directos que contenían enlaces a un archivo malicioso alojado en Dropbox.
El grupo es conocido por sus conjuntos de herramientas y señuelos en evolución, incluido el uso de documentos de señuelo y ataques de abrevadero para atraer a las víctimas potenciales a ejecutar una puerta trasera con todas las funciones capaz de robar información confidencial.
OceanLotus ganó notoriedad a principios del año pasado por su agresivo enfoque en las empresas automotrices multinacionales en un intento por apoyar los objetivos de fabricación de vehículos del país.
Durante el apogeo de la pandemia de COVID-19, APT32 llevó a cabo campañas de intrusión contra objetivos chinos, incluido el Ministerio de Gestión de Emergencias, con la intención de recopilar inteligencia sobre la crisis de COVID-19.
El mes pasado, los investigadores de Trend Micro descubrieron una nueva campaña que aprovecha una nueva puerta trasera de macOS que permite a los atacantes husmear y robar información confidencial y documentos comerciales confidenciales de las máquinas infectadas.
Luego, hace dos semanas, Microsoft detalló una táctica de OceanLotus que involucraba el uso de técnicas de minería de monedas para permanecer bajo el radar y establecer la persistencia en los sistemas de las víctimas, lo que dificultaba distinguir entre el crimen motivado financieramente y las operaciones de recopilación de inteligencia.
Ingeniería Social a través de Facebook
Ahora, según Facebook, APT32 creó personajes ficticios, haciéndose pasar por activistas y entidades comerciales, y usó señuelos románticos para llegar a sus objetivos, en última instancia, engañándolos para que descargaran aplicaciones de Android no autorizadas a través de Google Play Store que venían con una amplia gama de permisos para permitir amplia vigilancia de los dispositivos de las personas.
«La última actividad que investigamos e interrumpimos tiene el sello distintivo de una operación persistente y con buenos recursos que se enfoca en muchos objetivos a la vez, mientras oculta su origen», dijeron los investigadores. «Para interrumpir esta operación, bloqueamos la publicación de dominios asociados en nuestra plataforma, eliminamos las cuentas del grupo y notificamos a las personas que creemos que fueron atacadas por APT32».
En un desarrollo separado, Facebook dijo que también interrumpió a un grupo con sede en Bangladesh que se dirigía a activistas locales, periodistas y minorías religiosas para comprometer sus cuentas y ampliar su contenido.
«Nuestra investigación vinculó esta actividad con dos organizaciones sin fines de lucro en Bangladesh: Don’s Team (también conocida como Defense of Nation) y Crime Research and Analysis Foundation (CRAF). Parecían estar operando a través de varios servicios de Internet».
