Los piratas informáticos están implantando múltiples puertas traseras en objetivos industriales en Japón

Investigadores de ciberseguridad revelaron el martes detalles de una campaña sofisticada que despliega puertas traseras maliciosas con el fin de filtrar información de varios sectores industriales ubicados en Japón.

Apodado «A41APT» por los investigadores de Kaspersky, los hallazgos profundizan en una nueva serie de ataques realizados por APT10 (también conocido como Stone Panda o Cicada) utilizando malware previamente no documentado para entregar hasta tres cargas útiles, como SodaMaster, P8RAT y FYAnti.

La operación de recopilación de inteligencia de larga duración entró en escena por primera vez en marzo de 2019, con actividades detectadas en noviembre de 2020, cuando surgieron informes de empresas vinculadas a Japón que estaban siendo atacadas por el actor de amenazas en más de 17 regiones en todo el mundo.

Se dice que los nuevos ataques descubiertos por Kaspersky ocurrieron en enero de 2021. La cadena de infección aprovecha un proceso de ataque de varias etapas, y la intrusión inicial ocurre a través del abuso de SSL-VPN al explotar vulnerabilidades sin parches o credenciales robadas.

El centro de la campaña es un malware llamado Ecipekac («Pieza de pastel» al revés, pero con un error tipográfico) que atraviesa un «esquema de carga complicado» de cuatro capas al utilizar cuatro archivos para «cargar y descifrar cuatro módulos de carga sin archivos uno tras otro». el otro para eventualmente cargar la carga útil final en la memoria».

Si bien el objetivo principal de P8RAT y SodaMaster es descargar y ejecutar cargas útiles recuperadas de un servidor controlado por un atacante, la investigación de Kaspersky no ha arrojado ninguna pista sobre el malware exacto que se entrega en los sistemas Windows de destino.

Curiosamente, la tercera carga útil, FYAnti, es un módulo cargador de varias capas en sí mismo que atraviesa dos capas sucesivas más para implementar un troyano de acceso remoto de etapa final conocido como QuasarRAT (o xRAT).

«Las operaciones y los implantes de la campaña… son notablemente sigilosos, lo que dificulta el seguimiento de las actividades del actor de amenazas», dijo el investigador de Kaspersky Suguru Ishimaru. «Las principales características de sigilo son los implantes sin archivos, la ofuscación, el anti-VM y la eliminación de pistas de actividad».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática