Gaza Cybergang y su campaña de SneakyPastes

10 Abr 2019

En la conferencia Security Analyst Summit (SAS) de Kaspersky, es costumbre que hablemos de los ataques APT: fue allí donde publicamos por primera vez información sobre Slingshot, Carbanak y Careto. Los ataques dirigidos están a la alza y este año no fue la excepción: en el SAS 2019 en Singapur, hablamos de un grupo criminal APT llamado Gaza Cybergang.

Arsenal variado

La ciberbanda Gaza Cybergang se especializa en ciberespionaje, cuya acción se limita al Medio Oriente y países de Asia Central. Su objetivo principal son políticos, diplomáticos, periodistas, activistas y otros ciudadanos políticamente activos de la región.

En cuanto al número de ataques que registramos desde enero del 2018 hasta enero del 2019, los objetivos que encabezan la lista se encuentran dentro del territorio palestino. También hubo intentos de infección en Jordán, Israel y Líbano. La banda empleó métodos y herramientas de distintos grados de complejidad en estos ataques.

Nuestros expertos han identificado tres subgrupos dentro de la ciberbanda; ya hemos cubiertos dos de ellos. El primero fue responsable de la campaña Desert Falcons y el segundo está detrás de los ataques personalizados conocidos como Operation Parliament.

Pues bien, toca turno al tercero, al que llamaremos MoleRATs. El grupo cuenta con herramientas relativamente simples, pero de ningún modo su campaña SneakyPastes (nombrado así por usar activamente pastebin.com) resulta inofensiva.

SneakyPastes

La campaña presenta múltiples etapas. Comienza con phishing, enviando correos desde direcciones y dominios de uso único. A veces, los correos contienen enlaces hacia malware o archivos adjuntos infectados. Si la víctima ejecuta el archivo adjunto (o si sigue el enlace), su dispositivo contraerá el malware Stage One, el cual está programado para echar a andar la cadena de infección.

Los correos, destinados a apaciguar la desconfianza del lector, versan casi siempre sobre política: son registros de las negociaciones políticas o discursos provenientes de organizaciones creíbles.

Una vez que el malware Stage se encuentra alojado en la computadora, intenta afianzar su posición, esconde su presencia frente a cualquier solución de antivirus y oculta el servidor de mando.

Los atacantes utilizan servicios públicos (pastebin.com, github.com, mailimg.com, upload.cat, dev-point.com y pomf.cat) para etapas posteriores del ataque (incluyendo el envío de malware) y, sobre todo, para comunicarse con el servidor de mando. Normalmente, usan métodos diversos al mismo tiempo para enviar la información extraída.

Finalmente, el dispositivo se ve infectado con el malware RAT, el cual ofrece poderosas capacidades; entre otras, la de descargar y cargar libremente archivos, ejecutar aplicaciones, buscar documentos y cifrar información.

El malware analiza la computadora de la víctima a fin de localizar todos los archivos PDF, DOC, DOCX y XLSX, los guarda en carpetas temporales; los clasifica, archiva y cifra y, finalmente, los envía a un servidor de mando mediante una cadena de dominios. .

De hecho, hemos identificado múltiples herramientas en este tipo de ataque. Si quieres conocer más acerca de ellas y obtener información más técnica en esta publicación en Securelist.

Protección integrada contra amenazas integradas

Nuestros productos están destinados a combatir exitosamente los componentes usados en la campaña SneakyPastes. Para no ser una víctima más, sigue estos consejos:

  • Enseña a tus empleados a reconocer los correos peligrosos, ya sean mensajes cadena o personalizados; los ataques de Gaza Cybergang comienzan con phishing. Nuestra plataforma interactiva Kaspersky ASAP no solamente proporciona esa información, sino que enseña las competencias necesarias.
  • Utiliza soluciones integradas diseñadas para hacer frente a ataques complejos y de múltiples etapas, los cuales pueden resultar demasiado difíciles de manejar para las soluciones de antivirus básicas. Para enfrentar los ataques a nivel de red, recomendamos un paquete compuesto por Kaspersky Anti Targeted Attack y Kaspersky Endpoint Detection and Response.
  • Si tu empresa emplea un servicio de seguridad informática, te recomendamos suscribirte a los informes detallados de Kaspersky Lab, donde ofrecemos descripciones exhaustivos de las ciberamenazas actuales. Puedes adquirir una suscripción enviando un correo a intelreports@kaspersky.com.