Un reciente informe de Kaspersky ha expuesto una serie de ataques dirigidos en Europa del Este, diseñados para establecer canales permanentes de exfiltración de datos. Estas campañas han mostrado similitudes con ataques previamente investigados, como ExCone y DexCone, lo que sugiere la participación del grupo de amenazas APT31, también conocido como Judgment Panda y Zirconium.
La investigación revela el uso de implantes avanzados para el acceso remoto, demostrando el amplio conocimiento y experiencia de los agentes de amenazas para evadir medidas de seguridad. Estos implantes permiten establecer canales persistentes de exfiltración de datos, incluso en sistemas altamente seguros.
Los agentes de amenaza utilizaron técnicas de secuestro de DLL, abusando de ejecutables legítimos de terceros, para evitar la detección mientras ejecutan múltiples implantes en tres etapas del ataque.
Servicios de almacenamiento en la nube como Dropbox y Yandex Disk, junto con plataformas temporales de intercambio de archivos, se utilizaron para filtrar datos y distribuir el malware utilizado posteriormente. Además, se implementaron infraestructuras de mando y control (C2) en Yandex Cloud y servidores privados virtuales para mantener el control sobre las redes comprometidas.
En estos ataques, se descubrieron nuevas variantes del malware FourteenHi, que ha evolucionado desde su descubrimiento en 2021 y ahora apunta específicamente a la infraestructura de organizaciones industriales. También se encontró un nuevo implante de malware de puerta trasera llamado MeatBall, que posee amplias capacidades de acceso a distancia.
Kirill Kruglov, investigador senior de seguridad en Kaspersky ICS CERT, destaca la importancia de implementar medidas resilientes de ciberseguridad para proteger la infraestructura industrial contra amenazas existentes y futuras.
Kaspersky recomienda medidas para mantener protegidos los sistemas OT contra diversas amenazas, como evaluaciones periódicas de seguridad, establecer una evaluación continua de vulnerabilidades, realizar actualizaciones oportunas y utilizar soluciones EDR para la detección y respuesta de amenazas.
Fuente: Prensario TI
