Las compa\u00f1\u00edas navieras y los laboratorios m\u00e9dicos en Asia han sido objeto de una supuesta campa\u00f1a de espionaje llevada a cabo por un actor de amenazas nunca antes visto llamado hidrochasma<\/b>.<\/p>\n
La actividad, que ha estado en curso desde octubre de 2022, “se basa exclusivamente en herramientas disponibles p\u00fablicamente y que viven fuera de la tierra”, Symantec, de Broadcom Software, dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n Todav\u00eda no hay evidencia disponible para determinar su origen o afiliaci\u00f3n con actores de amenazas conocidos, pero la compa\u00f1\u00eda de ciberseguridad dijo que el grupo puede estar interesado en verticales de la industria que est\u00e1n involucradas en tratamientos o vacunas relacionados con COVID-19.<\/p>\n Los aspectos destacados de la campa\u00f1a son la ausencia de exfiltraci\u00f3n de datos y malware personalizado, con el actor de amenazas empleando herramientas de c\u00f3digo abierto para la recopilaci\u00f3n de inteligencia. Al utilizar herramientas ya disponibles, el objetivo, al parecer, es no solo confundir los esfuerzos de atribuci\u00f3n, sino tambi\u00e9n hacer que los ataques sean m\u00e1s sigilosos.<\/p>\n Lo m\u00e1s probable es que el comienzo de la cadena de infecci\u00f3n sea un mensaje de phishing que contenga un documento de se\u00f1uelo con el tema de un curr\u00edculum que, cuando se inicia, otorga acceso inicial a la m\u00e1quina.<\/p>\n A partir de ah\u00ed, se ha observado a los atacantes desplegando un tesoro de herramientas como Fast Reverse Proxy (PRFV<\/a>), Meterpreter, baliza de ataque de cobalto, escanear<\/a>, navegadorfantasma<\/a>y Gost<\/a> apoderado.<\/p>\n “Las herramientas implementadas por Hydrochasma indican un deseo de lograr un acceso persistente y sigiloso a las m\u00e1quinas de las v\u00edctimas, as\u00ed como un esfuerzo por escalar los privilegios y propagarse lateralmente a trav\u00e9s de las redes de las v\u00edctimas”, dijeron los investigadores.<\/p>\n El abuso de FRP por parte de grupos de hackers est\u00e1 bien documentado. En octubre de 2021, Positive Technologies revel\u00f3 ataques montados por ChamelGang que involucraban el uso de la herramienta para controlar hosts comprometidos.<\/p>\n Luego, en septiembre pasado, AhnLab Security Emergency Response Center (ASEC) descubierto<\/a> ataques dirigidos a empresas de Corea del Sur que aprovecharon FRP para establecer acceso remoto desde servidores ya comprometidos para ocultar los or\u00edgenes del adversario.<\/p>\n Hydrochasma no es el \u00fanico actor de amenazas en los \u00faltimos meses que evita por completo el malware personalizado. Esto incluye un grupo de ciberdelincuencia denominado OPERA1ER (tambi\u00e9n conocido como Bluebottle) que hace un uso extensivo de herramientas de doble uso que viven de la tierra y malware b\u00e1sico en intrusiones dirigidas a pa\u00edses franc\u00f3fonos en \u00c1frica.<\/p>\n <\/p>\n