Nuevo clúster de piratería 'Clasiopa'

Las organizaciones de investigación de materiales en Asia han sido atacadas por un actor de amenazas previamente desconocido utilizando un conjunto distinto de herramientas.

Symantec, de Broadcom Software, está rastreando el clúster bajo el nombre de Clasiopa. Los orígenes del grupo de piratería y sus afiliaciones son actualmente desconocidos, pero hay indicios que sugieren que el adversario podría tener vínculos con la India.

Esto incluye referencias a "SAPTARISHI-ATHARVAN-101" en una puerta trasera personalizada y el uso de la contraseña "iloveindea1998^_^" para un archivo ZIP.

Vale la pena señalar que Saptarishi, que significa "Siete sabios" en sánscrito, se refiere a un grupo de videntes que son venerados en la literatura hindú. Atharvan fue un antiguo sacerdote hindú y se cree que fue coautor de uno de los cuatro Vedas, una colección de escrituras religiosas en el hinduismo.

"Si bien estos detalles podrían sugerir que el grupo tiene su sede en India, también es muy probable que la información haya sido plantada como banderas falsas, con la contraseña en particular que parece ser una pista demasiado obvia", dijo Symantec en un informe compartido con The Hacker News.

Tampoco está claro el medio exacto de acceso inicial, aunque se sospecha que las incursiones cibernéticas aprovechan los ataques de fuerza bruta en servidores orientados a Internet.

Algunas de las características clave de las intrusiones implican la limpieza del monitor del sistema (Sysmon) y los registros de eventos, así como el despliegue de múltiples puertas traseras, como Atharvan y una versión modificada del código abierto Lilith RAT, para recopilar y filtrar información confidencial.

Atharvan es además capaz de ponerse en contacto con un servidor de comando y control (C&C) codificado de forma rígida para recuperar archivos y ejecutar ejecutables arbitrarios en el host infectado.

"Las direcciones de C&C codificadas que se ven en una de las muestras analizadas hasta la fecha fueron para la región de Amazon AWS South Korea (Seúl), que no es una ubicación común para la infraestructura de C&C", señaló la compañía.

La revelación se produce un día después de que la firma de ciberseguridad desenvolviera otro grupo de amenazas hasta ahora indocumentado conocido como Hydrochasma que se ha observado apuntando a compañías navieras y laboratorios médicos en Asia.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta