CactusPete, también conocido como Karma Panda o Tonto Teaь, ha mejorado su puerta trasera para centrarse en representantes de los sectores militar y financiero en Europa Oriental con el fin de obtener acceso a información confidencial. Además, la velocidad a la que se crean las nuevas muestras de malware sugiere que el grupo se está desarrollando rápidamente, por lo que dichas organizaciones deben estar alerta.
La ola más reciente de actividad fue detectada por investigadores de Kaspersky en febrero de 2020, cuando descubrieron una versión actualizada de la puerta trasera Bisonal del grupo. Al usar Kaspersky Threat Attribution Engine, una herramienta que analiza el código malicioso para buscar similitudes con el que utilizan los agentes de amenazas conocidos para determinar qué grupo es responsable de un ataque, vincularon esta muestra con más de 300 utilizadas libremente en el mundo.
Las 300 muestras aparecieron entre marzo de 2019 y abril de 2020, aproximadamente 20 muestras por mes, lo que subraya el hecho de que CactusPete se está desarrollando rápidamente. En efecto, el grupo ha seguido perfeccionando sus capacidades, pues ha logrado acceso en 2020 a un código más complejo como es ShadowPad.
La funcionalidad de la carga maliciosa sugiere que el grupo anda en busca de información altamente confidencial. Una vez instalada en el dispositivo de la víctima, la puerta trasera Bisonal que emplean permite al grupo iniciar sigilosamente varios programas, terminar procesos, subir, bajar y eliminar archivos, así como recuperar una lista de las unidades de disco disponibles. Además, a medida que los operadores se adentran más en el sistema infectado, instalan detectores de pulsaciones de teclas para recopilar credenciales y descargar malware de escalada de privilegios para obtener gradualmente mayor control sobre el sistema.
No está claro cómo se descargó inicialmente la puerta trasera en esta última campaña. En el pasado, CactusPete se validó principalmente del spear-phishing con correos electrónicos que contienen archivos adjuntos maliciosos. Si ese archivo adjunto es abierto, el dispositivo queda infectado.
“CactusPete es un grupo APT bastante interesante porque en realidad no es tan avanzado, como tampoco lo es la puerta trasera Bisonal. Su éxito no proviene de una tecnología avanzada o de tácticas complejas de distribución y ofuscación, sino de una aplicación exitosa de tácticas de ingeniería social. Pueden tener éxito en infectar objetivos de alto nivel porque sus víctimas hacen clic en los correos electrónicos de phishing y abren los archivos adjuntos maliciosos. Este es un gran ejemplo de por qué el phishing sigue siendo un método tan eficaz para lanzar ataques cibernéticos, y por qué es tan importante que las empresas proporcionen a sus empleados capacitación sobre cómo detectar dichos correos electrónicos y mantenerse actualizados sobre la inteligencia contra amenazas más reciente, para que puedan detectar a un agente avanzado“, comenta Konstantin Zykov, investigador sénior de seguridad en Kaspersky.
Para proteger sus instituciones contra CactusPete y otras APTs, los expertos de Kaspersky recomiendan:
- Proporcione a su equipo del Centro de operaciones de seguridad (SOC, por sus siglas en inglés) acceso a la Inteligencia de Amenazas más reciente y manténgase actualizado con las herramientas, técnicas y tácticas nuevas y emergentes que utilizan los ciberdelincuentes y los agentes de amenaza.
- Para la detección a nivel de endpoints, la investigación y la corrección oportuna de incidentes, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
- Brinde a su personal capacitación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Realice un ataque de phishing simulado para asegurarse de que el personal sepa identificar los correos electrónicos de phishing.
- Para vincular rápidamente nuevas muestras maliciosas con agentes de ataque conocidos, implemente Kaspersky Threat Attribution Engine.
Obtenga más información sobre la actividad más reciente de CactusPete en Securelist.