Los investigadores de Kaspersky han podido vincular más de 300 muestras de una puerta trasera llamada Bisonal a la campaña del agente de amenaza avanzada persistente (APT, por sus siglas en inglés) CactusPete, un grupo de ciberespionaje activo por lo menos desde 2012. Esta campaña se ha centrado en objetivos militares y financieros en Europa Oriental y pone en relieve el rápido desarrollo del grupo.
CactusPete, también conocido como Karma Panda o Tonto Teaь, ha mejorado su puerta trasera para centrarse en representantes de los sectores militar y financiero en Europa Oriental, con el fin de obtener acceso a información confidencial. Además, la velocidad a la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que dichas organizaciones deben estar alerta.
Kaspersky detecto en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera Bisonal del grupo. Al usar Kaspersky Threat Attribution Engine, una herramienta que analiza el código malicioso para buscar similitudes con los utilizados por los agentes de amenazas conocidos para determinar qué grupo es responsable de un ataque, vincularon esta muestra con más de 300 utilizadas libremente en el mundo.
Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020, aproximadamente 20 muestras por mes, lo que subraya el hecho de que CactusPete se está desarrollando rápidamente. En efecto, el grupo ha seguido perfeccionando sus capacidades, pues en 2020 ha logrado acceso a un código más complejo como lo es ShadowPad.
¿Quieres saber más Kaspersky?
La funcionalidad de la carga maliciosa sugiere que el grupo anda en busca de información altamente confidencial. Una vez instalada en el dispositivo de la víctima, la puerta trasera Bisonal que emplean permite al grupo iniciar sigilosamente varios programas, terminar procesos, subir, bajar y eliminar archivos, así como recuperar una lista de las unidades de disco disponibles. Además, a medida que los operadores se adentran más en el sistema infectado, instalan detectores de pulsaciones de teclas para recopilar credenciales y descargar malware de escalada de privilegios, para así obtener gradualmente mayor control sobre el sistema.
No está claro cómo se descargó inicialmente la puerta trasera en esta última campaña. En el pasado, CactusPete se ha valido principalmente del spear-phishing con correos electrónicos que contienen archivos adjuntos maliciosos. Si ese archivo adjunto es abierto, el dispositivo queda infectado.
Para proteger tus instituciones contra CactusPete y otras APTs, los expertos de Kaspersky recomiendan:
- Proporciona a tu equipo del centro de operaciones de seguridad (SOC, por sus siglas en inglés) acceso a la Inteligencia de Amenazas más reciente. También mantente actualizado con las herramientas, técnicas nuevas y tácticas emergentes que utilizan los ciberdelincuentes y los agentes de amenaza.
- Para la detección a nivel de endpoints, la investigación y la corrección oportuna de incidentes, implementa soluciones EDR, como Kaspersky Endpoint Detection and Response.
- Brinda a tu personal capacitación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Realiza un ataque de phishing simulado para asegurarte de que el personal sepa identificar los correos electrónicos dephishing.
- Para vincular rápidamente nuevas muestras maliciosas con agentes de ataque conocidos, implementa Kaspersky Threat Attribution Engine.
