Un actor de amenazas centrado en el espionaje conocido por apuntar a China, Pakist\u00e1n y Arabia Saudita se ha expandido para fijar su mirada en las organizaciones gubernamentales de Bangladesh como parte de una campa\u00f1a en curso que comenz\u00f3 en agosto de 2021.<\/p>\n
La firma de seguridad cibern\u00e9tica Cisco Talos atribuy\u00f3 la actividad con confianza moderada a un grupo de piratas inform\u00e1ticos denominado el APT amargo<\/a> basado en superposiciones en la infraestructura de comando y control (C2) con la de campa\u00f1as anteriores montadas por el mismo actor.<\/p>\n “Bangladesh se ajusta al perfil que hemos definido para este actor de amenazas, que anteriormente se dirig\u00eda a pa\u00edses del sudeste asi\u00e1tico, incluidos Porcelana<\/a>Pakist\u00e1n y Arabia Saudita”, Vitor Ventura, investigador principal de seguridad en Cisco Talos, tantiguo<\/a> Las noticias de los hackers.<\/p>\n “Y ahora, en esta \u00faltima campa\u00f1a, han ampliado su alcance a Bangladesh. Cualquier pa\u00eds nuevo en el sureste de Asia que sea objetivo de Bitter APT no deber\u00eda ser una sorpresa”.<\/p>\n Se sospecha que Bitter (tambi\u00e9n conocido como APT-C-08 o T-APT-17) es un grupo de pirater\u00eda del sur de Asia motivado principalmente por la recopilaci\u00f3n de inteligencia, una operaci\u00f3n que se facilita mediante malware como BitterRAT, ArtraDownloader y AndroRAT. Los objetivos destacados incluyen los sectores de energ\u00eda, ingenier\u00eda y gobierno.<\/p>\n Los primeros ataques que distribuyeron la versi\u00f3n m\u00f3vil de BitterRAT se remontan a septiembre de 2014, y el actor ten\u00eda un historial de aprovechar fallas de d\u00eda cero: CVE-2021-1732<\/a> y CVE-2021-28310, en su beneficio y lograr sus objetivos contradictorios.<\/p>\n La \u00faltima campa\u00f1a, dirigida a una entidad de \u00e9lite del gobierno de Bangladesh, implica el env\u00edo de correos electr\u00f3nicos de phishing dirigido a oficiales de alto rango de la Unidad del Batall\u00f3n de Acci\u00f3n R\u00e1pida de la polic\u00eda de Bangladesh (RAB).<\/p>\n Como suele observarse en otros ataques de ingenier\u00eda social de este tipo, las misivas est\u00e1n dise\u00f1adas para atraer a los destinatarios a abrir un documento RTF armado o una hoja de c\u00e1lculo de Microsoft Excel que explota fallas previamente conocidas en el software para implementar un nuevo troyano; apodado “ZxxZ”.<\/p>\n ZxxZ, llamado as\u00ed por un separador utilizado por el malware al enviar informaci\u00f3n al servidor C2, es un ejecutable de Windows de 32 bits compilado en Visual C++.<\/p>\n “El troyano se hace pasar por un servicio de actualizaci\u00f3n de seguridad de Windows y permite que el<\/p>\n actor malicioso para realizar la ejecuci\u00f3n remota de c\u00f3digo, lo que permite al atacante realizar cualquier otra actividad mediante la instalaci\u00f3n de otras herramientas”, explicaron los investigadores.<\/p>\n Mientras que el documento RTF malicioso explota una vulnerabilidad de corrupci\u00f3n de memoria en el Editor de ecuaciones de Microsoft Office (CVE-2017-11882), el archivo de Excel abusa de dos fallas de ejecuci\u00f3n remota de c\u00f3digo, CVE-2018-0798<\/a> y CVE-2018-0802<\/a>para activar la secuencia de infecci\u00f3n.<\/p>\n “Los actores a menudo cambian sus herramientas para evitar la detecci\u00f3n o la atribuci\u00f3n, esto es parte del ciclo de vida de un actor de amenazas que muestra su capacidad y determinaci\u00f3n”, dijo Ventura.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1652282676_518_Hackers-amargos-de-APT-agregan-Bangladesh-a-su-lista-de.jpg\")
<\/div>\n