Ciberespionaje en Afganistán, Kirguistán y Uzbekistán por Hacker Group de habla china

Check Point Research (CPR) detecta una operación de ciberespionaje en curso dirigida al gobierno afgano. Atribuidos a un grupo de hackers de habla china, los actores de la amenaza se hicieron pasar por la Oficina del Presidente de Afganistán para infiltrarse en el Consejo de Seguridad Nacional Afgano (NSC) y utilizaron Dropbox para enmascarar sus actividades. CPR cree que esta es la última de una operación de más larga duración que se remonta a 2014, donde Kirguistán y Uzbekistán también son víctimas.

  • Los actores de amenazas envían un correo electrónico engañoso instando a tomar medidas en una próxima conferencia de prensa organizada por el NSC
  • Los actores de amenazas usan Dropbox para pasar desapercibidos, aprovechando la API como su centro de comando y control.
  • CPR detecta acciones maliciosas tomadas por los actores de amenazas, incluido el acceso a los archivos de escritorio de las víctimas, la implementación de la herramienta del escáner y la ejecución de herramientas de utilidad de red integradas en Windows

Check Point Research (CPR) ha observado una operación de ciberespionaje en curso dirigida al gobierno afgano. Se cree que es el grupo de hackers de habla china conocido como “IndigoZebra”, los actores de amenazas detrás del espionaje aprovecharon Dropbox, el popular servicio de almacenamiento en la nube, para infiltrarse en el Consejo de Seguridad Nacional Afgano (NSC). Una investigación adicional de CPR reveló que esta es la última actividad de más larga duración dirigida a otros países de Asia central, Kirguistán y Uzbekistán, desde al menos 2014.

"De la Oficina del Presidente de Afganistán"

La investigación de CPR comenzó en abril, cuando un funcionario del Consejo de Seguridad Nacional de Afganistán recibió un correo electrónico presuntamente de la Oficina Administrativa del Presidente de Afganistán. El correo electrónico instaba al destinatario a revisar las modificaciones en el documento relacionadas con una próxima conferencia de prensa del NSC.

La cadena de infección comienza con el engaño de un ministerio a otro

CPR resumió la metodología del ciberespionaje en los siguientes pasos:

  1. Envíe un correo electrónico bajo la apariencia de una entidad de alto perfil. Los actores de amenaza orquestan de un engaño estilo ministerio a ministerio, donde se envía un correo a un objetivo de alto perfil de los buzones de otra víctima de alto perfil.
  2. Encaje adjunto malicioso. Los actores de la amenaza agregan un archivo de almacenamiento que contiene malware, pero que pretende ser un archivo adjunto legítimo. En este caso, el correo electrónico contenía un archivo RAR protegido con contraseña llamado NSC Press conference.rar.
  3. Abra el primer documento. El archivo extraído, NSC Press conference.exe, actúa como cuentagotas. El contenido del correo electrónico de señuelo sugiere que el archivo adjunto es el documento, por lo tanto, para reducir la sospecha de que la víctima esté ejecutando el ejecutable, los atacantes usan un truco simple: el primer documento en el escritorio de la víctima se abre para el usuario en el cuentagotas ejecución. Ya sea que el cuentagotas haya encontrado un documento para abrir o no, pasará a la siguiente etapa: suelte la puerta trasera.
  4. Utiliza Dropbox como centro de comando y control. La puerta trasera se comunica con una carpeta preconfigurada y única para cada víctima en Dropbox. Esto sirve como la dirección donde la puerta trasera extrae más comandos y almacena la información que roba.

La detección del ciberespionaje sigue siendo una de nuestras principales prioridades. Esta vez, hemos detectado un spear-phishing en curso.campaña dirigida al gobierno afgano. Tenemos motivos para creer que Uzbekistán y Kirguistán también han sido víctimas. Atribuimos nuestros hallazgos a un actor de amenazas de habla china. Lo que es notable aquí es cómo los actores de la amenaza utilizaron la táctica del engaño de ministerio a ministerio. Esta táctica es cruel y eficaz para hacer que cualquiera haga cualquier cosa por usted; y en este caso, la actividad maliciosa se vio en los niveles más altos de soberanía. Además, es notable cómo los actores de amenazas utilizan Dropbox para enmascararse de la detección, una técnica que creo que todos deberíamos conocer y que todos deberíamos tener en cuenta. Es posible que otros países también hayan sido atacados por este grupo de piratas informáticos, aunque no sabemos cuántos o qué países

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.