Una empresa de juegos de azar en Filipinas fue el objetivo de un actor de amenazas alineado con China como parte de una campaña que ha estado en curso desde octubre de 2021.
La firma eslovaca de ciberseguridad ESET está rastreando la serie de ataques contra las compañías de juego del sudeste asiático bajo el nombre Operación ChattyGoblin.
«Estos ataques utilizan una táctica específica: apuntar a los agentes de soporte de las empresas víctimas a través de aplicaciones de chat, en particular, las aplicaciones Comm100 y LiveHelp100», ESET dicho en un informe compartido con The Hacker News.
CrowdStrike documentó por primera vez el uso de un instalador Comm100 troyanizado para entregar malware en octubre de 2022. La compañía atribuyó el compromiso de la cadena de suministro a un actor de amenazas probablemente relacionado con China.
Las cadenas de ataque aprovechan las aplicaciones de chat antes mencionadas para distribuir un cuentagotas de C# que, a su vez, implementa otro ejecutable de C#, que en última instancia sirve como conducto para colocar una baliza Cobalt Strike en las estaciones de trabajo pirateadas.
En el Informe de actividad APT de ESET del cuarto trimestre de 2022 al primer trimestre de 2023 también se destacan los ataques realizados por los actores de amenazas Donot Team y SideWinder vinculados a India contra instituciones gubernamentales en el sur de Asia.
Otro conjunto de ataques limitados se ha relacionado con otro grupo APT indio llamado Confucio que ha estado activo desde al menos 2013 y se cree que comparte lazos con el grupo Patchwork. El actor de amenazas ha utilizado en el pasado Señuelos con temática de pegaso y otros documentos señuelo para apuntar a las agencias gubernamentales de Pakistán.
La última intrusión, según ESET, involucró el uso de un troyano de acceso remoto denominado Ragnatela que es una variante mejorada de BADNEWS RAT.
En otra parte, la compañía de seguridad cibernética dijo que detectó al actor de amenazas iraní conocido como OilRig (también conocido como Hazel Sandstorm) desplegando un implante personalizado etiquetado como Mango en una compañía de atención médica israelí.
Vale la pena señalar que Microsoft atribuyó recientemente Storm-0133, un grupo de amenazas emergentes afiliado al Ministerio de Inteligencia y Seguridad de Irán (MOIS), a ataques dirigidos exclusivamente a agencias y empresas del gobierno local israelí que prestan servicios en los sectores de defensa, alojamiento y atención médica.
«El grupo MOIS usó el sitio web israelí legítimo pero comprometido para comando y control (C2), demostrando una mejora en la seguridad operativa, ya que la técnica complica los esfuerzos de los defensores, que a menudo aprovechan los datos de geolocalización para identificar actividad de red anómala», señaló Microsoft. , señalando además la dependencia de Storm-0133 del malware Mango en estas intrusiones.
ESET también dijo que un proveedor indio anónimo de servicios de gestión de datos estaba en el extremo receptor de un ataque montado por Lazarus Group, respaldado por Corea del Norte, en enero de 2023 utilizando un señuelo de ingeniería social con el tema de Accenture.
«El objetivo de los atacantes era monetizar su presencia en la red de la empresa, muy probablemente a través del compromiso del correo electrónico comercial», dijo la empresa, calificándolo de un cambio de sus patrones tradicionales de victimología.
También se dice que Lazarus Group, en febrero de 2023, violó a un contratista de defensa en Polonia a través de ofertas de trabajo falsas para iniciar una cadena de ataque que arma una versión modificada de SumatraPDF para implementar una RAT llamada ScoringMathTea y un sofisticado nombre en código descargado ImprudentCook.
Completando la lista se encuentra una actividad de phishing selectivo de grupos APT alineados con Rusia como Gamaredon, Sandworm, Sednit, The Dukes y SaintBear, el último de los cuales ha sido detectado empleando una versión actualizada de su Marco de malware elefante y una nueva puerta trasera basada en Go conocida como ElephantLauncher.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
Otra actividad APT notable detectada durante el período de tiempo comprende la de Winter Vivern y YoroTrooper, que ESET dijo que se superpone fuertemente con un grupo que ha estado rastreando bajo el nombre SturgeonPhisher desde principios de 2022.
Se sospecha que YoroTrooper es activo desde al menos 2021, con ataques dirigidos a organizaciones gubernamentales, energéticas e internacionales en Asia Central y Europa.
Se sospecha que la divulgación pública de sus tácticas en marzo de 2023 condujo a una «gran caída en la actividad», lo que plantea la posibilidad de que el grupo esté actualmente reestructurando su arsenal y alterando su modus operandi.
Los hallazgos de ESET siguen a los de Kaspersky Informe de tendencias de APT para el primer trimestre de 2023que descubrió un actor de amenazas previamente desconocido bautizado como Trila dirigido a entidades gubernamentales libanesas que utilizan «malware casero que les permite ejecutar de forma remota comandos del sistema Windows en máquinas infectadas».
La compañía rusa de ciberseguridad también llamó la atención sobre el descubrimiento de una nueva cepa de malware basada en Lua denominada DreamLand dirigida a una entidad gubernamental en Pakistán, marcando uno de los raros casos en los que un actor de APT ha utilizado el lenguaje de programación en ataques activos.
«El malware es modular y utiliza el lenguaje de secuencias de comandos Lua junto con su compilador Just-in-Time (JIT) para ejecutar código malicioso que es difícil de detectar», dijeron los investigadores de Kaspersky.
«También cuenta con varias capacidades anti-depuración y emplea API de Windows a través de Lua FFI, que utiliza enlaces de lenguaje C para llevar a cabo sus actividades».