• INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG
HUMEDAL INFORMATIK·ZERBITZU TEKNIKOA
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG

La nueva herramienta de espionaje USBCulprit roba datos de computadoras con espacio de aire

6/9/2020

 
Imagen
Según una investigación recientemente publicada por Kaspersky ayer, un actor chino de amenazas ha desarrollado nuevas capacidades para apuntar a sistemas con espacios de aire en un intento de filtrar datos confidenciales para espionaje.
La APT, conocida como Cycldek, Goblin Panda o Conimes, emplea un extenso conjunto de herramientas para el movimiento lateral y el robo de información en las redes de víctimas, que incluyen herramientas personalizadas, tácticas y procedimientos previamente no reportados en ataques contra agencias gubernamentales en Vietnam, Tailandia y Laos.

'Una de las herramientas recientemente reveladas se llama USBCulprit y se ha descubierto que depende de los medios USB para filtrar los datos de las víctimas', dijo Kaspersky. 'Esto puede sugerir que Cycldek está tratando de llegar a redes con espacios de aire en entornos de víctimas o depende de la presencia física para el mismo propósito'.

Observado por primera vez por CrowdStrike en 2013, Cycldek tiene una larga historia de señalar los sectores de defensa, energía y gobierno en el sudeste asiático, particularmente Vietnam, utilizando documentos señuelo que explotan vulnerabilidades conocidas (por ejemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) en Microsoft Office para colocar un malware llamado NewCore RAT.

Extraer datos a unidades extraíbles

El análisis de Kaspersky de NewCore reveló dos variantes diferentes (llamadas BlueCore y RedCore) centradas en dos grupos de actividad, con similitudes tanto en código como en infraestructura, pero también contienen características que son exclusivas de RedCore, es decir, un keylogger y un registrador RDP que captura detalles sobre usuarios conectados a un sistema a través de RDP.
Imagen
Cada grupo de actividad tenía un enfoque geográfico diferente', dijeron los investigadores. 'Los operadores detrás del clúster BlueCore invirtieron la mayor parte de sus esfuerzos en objetivos vietnamitas con varios valores atípicos en Laos y Tailandia, mientras que los operadores del clúster RedCore comenzaron con un enfoque en Vietnam y se desviaron a Laos a fines de 2018'.

Los implantes BlueCore y RedCore, a su vez, descargaron una variedad de herramientas adicionales para facilitar el movimiento lateral (HDoor) y extraer información (JsonCookies y ChromePass) de los sistemas comprometidos.

El principal de ellos es un malware llamado USBCulprit que es capaz de escanear varias rutas, recolectando documentos con extensiones específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) y exportarlos a una unidad USB conectada.
Imagen
Además, el malware está programado para copiarse selectivamente en ciertas unidades extraíbles para que pueda moverse lateralmente a otros sistemas con espacio de aire cada vez que se inserta una unidad USB infectada en otra máquina.

Un análisis de telemetría de Kaspersky descubrió que la primera instancia del binario se remonta a 2014, con las últimas muestras registradas a fines del año pasado.

El mecanismo de infección inicial se basa en aprovechar los binarios maliciosos que imitan componentes antivirus legítimos para cargar USBCulprit en lo que se conoce como secuestro de órdenes de búsqueda de DLL antes de proceder a recopilar la información relevante, guardarla en forma de un archivo RAR cifrado y filtrar los datos a un Dispositivo extraíble conectado.

'Las características del malware pueden dar lugar a varias suposiciones sobre su propósito y casos de uso, uno de los cuales es alcanzar y obtener datos de máquinas con espacios de aire', dijeron los investigadores. 'Esto explicaría la falta de comunicación de red en el malware y el uso de medios extraíbles solo como medio para transferir datos entrantes y salientes'.

En última instancia, las similitudes y diferencias entre las dos piezas de malware son indicativas del hecho de que los actores detrás de los clústeres comparten código e infraestructura, mientras operan como dos ramificaciones diferentes en una sola entidad más grande.

'Cycldek es un ejemplo de un actor que tiene una capacidad más amplia de lo que se percibe públicamente', concluyó Kaspersky. 'Si bien las descripciones más conocidas de su actividad dan la impresión de un grupo marginal con capacidades inferiores, la gama de herramientas y el intervalo de tiempo de las operaciones muestran que el grupo tiene un amplio punto de apoyo dentro de las redes de objetivos de alto perfil en el sudeste asiático'.

Los comentarios están cerrados.

    Autor

    HUMEDAL INFORMATIK
    zerbitzu teknikoa
    servicios informàticos

    Imagen

    Archivos

    Abril 2021
    Marzo 2021
    Febrero 2021
    Enero 2021
    Diciembre 2020
    Noviembre 2020
    Octubre 2020
    Septiembre 2020
    Agosto 2020
    Julio 2020
    Junio 2020
    Mayo 2020
    Abril 2020
    Marzo 2020
    Febrero 2020
    Enero 2020
    Diciembre 2019
    Noviembre 2019
    Octubre 2019
    Septiembre 2019
    Agosto 2019
    Julio 2019
    Junio 2019
    Mayo 2019
    Abril 2019
    Noviembre 2018
    Octubre 2018
    Agosto 2018
    Julio 2018
    Mayo 2018
    Abril 2018
    Marzo 2018
    Febrero 2018
    Enero 2018
    Diciembre 2017
    Noviembre 2017
    Octubre 2017
    Septiembre 2017
    Julio 2017
    Junio 2017
    Mayo 2017

    Categorías

    Todos
    5G
    Kuriositateak
    Mundo 3D
    Ordenagailuak
    Segurtasuna
    Software Libre

    Fuente RSS

NON GAUDEN·DONDE ESTAMOS

humedalinformatik@gmail.com                               tlf: 945 770 617·688 844 108                   Bulevar de Salburua 5            Vitoria·Gasteiz        Euskal Herria
  • INICIO
  • REPARACION
    • recogida y entrega a domicilio
    • mantenimiento a pequeñas empresas
    • recuperacion de datos
  • VENTA DE INFORMATICA
    • ordenadores
    • tablets-ebooks
    • smartphones
    • drones
    • impresoras y tintas
    • accesorios de informatica
    • repuestos de ordenador
  • MUNDO 3D
  • DESCARGAS
  • CONTACTO
  • BLOG