Investigadores descubren Capmaign de ciberespionaje a largo plazo

Los investigadores de seguridad han revelado recientemente información sobre una campaña de ciberespionaje a largo plazo dirigida a empresas de la industria del combustible en todo el mundo. La campaña se centró en evitar la detección a largo plazo y en colocar troyanos de acceso remoto en las redes de las víctimas con el propósito de espiar y exfiltrar datos de forma duradera.

Los investigadores de la firma de seguridad Intezer revelaron que los delincuentes habían estado utilizando campañas de correo electrónico de spear-phishing con objetivos específicos que llevan cargas útiles de troyanos de acceso remoto como adjuntos maliciosos. La gama de malware RAT utilizado en la campaña varió enormemente e incluye nombres infames como Agent Tesla, Loki y AZORult. Esas herramientas tienen la capacidad de robar información confidencial e inicios de sesión del navegador, pero también de registrar las pulsaciones de teclas.

La campaña se centra casi por completo en las empresas de petróleo y gas, pero hay algunos valores atípicos específicos que se encuentran en los sectores de TI y medios de comunicación. Curiosamente, la mayoría de las empresas objetivo se encuentran en Corea del Sur, con otros objetivos ubicados en todo el mundo, incluidos Europa y los EE. UU., Así como los Emiratos Árabes Unidos.

Los investigadores también notaron que uno de los objetivos de la campaña maliciosa era marcadamente diferente del resto. El extraño se llama FEBC y es una entidad de radiodifusión ubicada en Corea del Sur, que según los investigadores de Intezer busca "subvertir la prohibición religiosa" en el vecino norte del país.

Los correos electrónicos de spear-phishing utilizan campos de remitente falsificados y están hechos para que parezca que realmente se originaron en direcciones y compañías que serían bien conocidas por las víctimas. Algunos de los correos electrónicos usaban dominios con errores tipográficos: un dominio que tiene un solo carácter diferente del legítimo, por ejemplo, un punto reemplazado con un guión o una "L" intercambiada con un 1.

El cuerpo de los correos electrónicos maliciosos generalmente contiene lo que parece una oferta comercial legítima. Las cargas útiles están contenidas en archivos PDF falsos que en realidad son archivos .cab o imágenes .iso. Intezer también señaló que la carga útil se implementa mediante técnicas sin archivos, que se implementan directamente en la memoria del sistema sin dejar ningún archivo en el disco duro que pueda hacer saltar las defensas potenciales.

Intezer también señaló que los correos electrónicos estaban especialmente bien hechos en términos de formato y se ha tenido mucho cuidado para que parezcan correspondencia comercial legítima. Hay muchos pequeños detalles en el texto de esos correos electrónicos que indican que el actor de la amenaza detrás de esto no es un aficionado y tiene una muy buena comprensión de cómo es la correspondencia comercial legítima y de alto perfil.