Avast, un líder mundial en productos de seguridad y privacidad digital, publicó hoy un análisis conjunto de un ataque APT dirigido a empresas e instituciones de Asia Central.
Avast trabajó junto con analistas de malware de ESET para analizar muestras utilizadas por un grupo APT (Advanced PersistentThreat) para espiar a una empresa de telecomunicaciones, una compañía de gas y una institución gubernamental en Asia Central.
El grupo sembró backdoors para obtener acceso a largo plazo a las redes corporativas. Basándose en el análisis, Avast sospecha que el grupo también estaba detrás de ataques activos en Mongolia, Rusia y Bielorrusia. Avast cree que el grupo es de China, basándose en el uso de Gh0st RAT, que se sabe fue utilizado por grupos chinos de APT en el pasado dadas las similitudes en el código que Avast analizó y el código recientemente examinado en una campaña atribuida a actores chinos.
Las backdoors dieron a los atacantes la capacidad de manipular y borrar archivos, tomar capturas de pantalla, alterar procesos y servicios, así como ejecutar comandos de consola y eliminarse a sí mismos. Además, algunos comandos tenían la capacidad de instruir a las backdoors para extraer datos a un servidor de mando y control.
Los dispositivos infectados también podían ser comandados por un servidor C&C para que actuaran como proxy o para que escucharan en un puerto específico cada interfaz de la red.
El grupo también usaba herramientas como Gh0st RAT e Instrumentación de Gestión para moverse lateralmente dentro de las redes infiltradas.
“El grupo detrás del ataque frecuentemente optimizaba sus herramientas personalizadas para evitar la detección de antivirus, que además de las puertas traseras, incluían Mimikatz y Gh0st RAT. Esto ha dado lugar a un gran número de muestras, con binarios a menudo protegidos por VMProtect, lo que dificulta el análisis”, dijo Luigino Camastra, investigador de malware de Avast. “Basándonos en lo que hemos descubierto y en el hecho de que hemos podido relacionar elementos de estos ataques con ataques realizados en otros países, asumimos que este grupo también está apuntando a otros países”.
Avast informó de sus hallazgos al equipo local del CERT y se puso en contacto con la empresa de telecomunicaciones afectada, que descubrió que estaba siendo atacada.