APT41 de China ataca el sector de juegos de azar por ganancias financieras

Iniciado por Dragora, Octubre 21, 2024, 07:55:39 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


El grupo de ciberespionaje chino conocido como APT41, también llamado Brass Typhoon, Earth Baku, Wicked Panda o Winnti, ha llevado a cabo un ataque cibernético altamente sofisticado contra la industria del juego y los casinos. Este ataque se prolongó durante al menos seis meses, durante los cuales los ciberdelincuentes recopilaron información valiosa de la empresa objetivo, como configuraciones de red, contraseñas y datos críticos del sistema.

Security Joes, una empresa de ciberseguridad israelí, fue la encargada de investigar el incidente. Ido Naor, cofundador de la compañía, informó que los atacantes ajustaron constantemente sus herramientas para evadir los sistemas de seguridad de la empresa afectada, demostrando una habilidad notable para mantener acceso persistente y evitar ser detectados. Este ataque muestra similitudes con una operación previamente identificada por Sophos, denominada "Operation Crimson Palace".

APT41 es un grupo vinculado al Estado chino que no solo realiza espionaje, sino que también ha estado involucrado en actividades financieras ilícitas, como ransomware y minería de criptomonedas. En este caso, se sospecha con gran certeza que el objetivo principal del ataque fue el beneficio económico. Los ataques de este grupo son metódicos y precisos, y en este caso específico, lograron infiltrarse en la red de una empresa de juegos de azar, recolectando datos valiosos y manteniendo su acceso durante un período prolongado.

Tácticas empleadas por APT41 en el ataque

Una de las técnicas clave utilizadas por APT41 fue un ataque DCSync, cuyo propósito es obtener credenciales de cuentas privilegiadas, como administradores y cuentas de servicio. Estas credenciales les permitieron mantener el control sobre la red y escalar privilegios para instalar y ejecutar software malicioso adicional. Durante la intrusión, los atacantes también ejecutaron un "secuestro de DLL fantasma" y abusaron de la herramienta legítima wmic.exe para disfrazar sus acciones dentro de la red.

La siguiente fase del ataque involucró la descarga de un archivo DLL malicioso llamado TSVIPSrv.dll, que fue transferido mediante el protocolo SMB. Este archivo estableció una conexión con un servidor de comando y control (C2) codificado, lo que permitió a los atacantes mantener acceso remoto y ejecutar más acciones maliciosas.

Adaptación constante y elusión de defensas

Una característica distintiva de este ataque fue la capacidad de APT41 para adaptarse rápidamente a las medidas de seguridad implementadas por la empresa afectada. Cada vez que el equipo de seguridad realizaba cambios para mitigar el ataque, los cibercriminales modificaban sus herramientas y técnicas para continuar evadiendo la detección. Incluso, utilizaron GitHub como una fuente para actualizar la información del servidor C2, empleando una técnica inusual para generar direcciones IP a partir de secuencias de caracteres en mayúsculas obtenidas del código HTML de la plataforma.

Security Joes destacó que los atacantes pausaron sus actividades tras ser detectados, pero regresaron semanas después con una nueva táctica, utilizando un archivo XSL modificado que contenía código JavaScript malicioso. Este archivo se ejecutó a través de la utilidad wmic.exe, un conocido living-off-the-land binary (LOLBIN), que permitió al grupo obtener más información del sistema comprometido sin levantar sospechas.

Focalización de redes específicas

El ataque también reveló que APT41 se enfocaba en dispositivos dentro de una subred específica, utilizando filtros de dirección IP para apuntar únicamente a máquinas de interés. Esta táctica resalta la meticulosidad del grupo para identificar y comprometer solo aquellos sistemas que podían ofrecerles un mayor valor.

En fin, el ataque de APT41 contra la industria del juego es un recordatorio del nivel de sofisticación que pueden alcanzar los actores estatales en el ciberespacio. Estos cibercriminales no solo buscan recopilar información, sino también obtener ganancias financieras a través de actividades ilícitas. Para las empresas que operan en sectores altamente lucrativos como el del juego, es esencial implementar medidas de seguridad avanzadas, realizar auditorías periódicas de su infraestructura digital y capacitar a su personal para reconocer y responder ante ataques de spear-phishing y otras amenazas cibernéticas.

Es fundamental que las empresas refuercen sus protocolos de seguridad y tomen medidas preventivas, como la monitorización de cuentas privilegiadas y el uso de herramientas de autenticación robustas, para mitigar el riesgo de futuros ataques por parte de grupos como APT41.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta