Underc0de

Las entidades gubernamentales de la región de Asia-Pacífico (APAC) son el objetivo de una campaña de ciberespionaje de larga duración denominada TetrisPhantom.

"El atacante espió y recolectó de forma encubierta datos confidenciales de las entidades gubernamentales de APAC explotando un tipo particular de unidad USB segura, protegida por cifrado de hardware para garantizar el almacenamiento seguro y la transferencia de datos entre sistemas informáticos", dijo Kaspersky en su informe de tendencias APT para el tercer trimestre de 3.

La firma rusa de ciberseguridad, que detectó la actividad en curso a principios de 2023, dijo que las unidades USB ofrecen cifrado de hardware y son empleadas por organizaciones gubernamentales de todo el mundo para almacenar y transferir datos de forma segura, lo que plantea la posibilidad de que los ataques puedan expandirse en el futuro para tener una huella global.

El conjunto de intrusión clandestina no se ha vinculado a ningún actor o grupo de amenazas conocido, pero el alto nivel de sofisticación de la campaña apunta a un equipo de estado-nación.

"Estas operaciones fueron llevadas a cabo por un actor de amenazas altamente calificado e ingenioso, con un gran interés en las actividades de espionaje dentro de las redes gubernamentales sensibles y protegidas", dijo Noushin Shabab, investigador senior de seguridad de Kaspersky. "Los ataques fueron extremadamente selectivos y tuvieron un número bastante limitado de víctimas".

Un sello distintivo clave de la campaña es el uso de varios módulos maliciosos para ejecutar comandos y recopilar archivos e información de máquinas comprometidas y propagar la infección a otras máquinas utilizando la misma u otras unidades USB seguras como vector.

Los componentes de malware, además de autorreplicarse a través de unidades USB seguras conectadas para violar redes aisladas, también son capaces de ejecutar otros archivos maliciosos en los sistemas infectados.

"El ataque comprende herramientas y técnicas sofisticadas", dijo Kaspersky, y agregó que las secuencias de ataque también implicaron la "inyección de código en un programa de administración de acceso legítimo en la unidad USB que actúa como un cargador para el malware en una nueva máquina".

La revelación se produce cuando un nuevo y desconocido actor de amenazas persistentes avanzadas (APT) ha sido vinculado a un conjunto de ataques dirigidos a entidades gubernamentales, contratistas militares, universidades y hospitales en Rusia a través de correos electrónicos de spear-phishing que contienen documentos de Microsoft Office con trampas explosivas.

"Esto inicia un esquema de infección de varios niveles que conduce a la instalación de un nuevo troyano, que está diseñado principalmente para exfiltrar archivos de la máquina de la víctima y obtener el control mediante la ejecución de comandos arbitrarios", dijo Kaspersky.

Los ataques, cuyo nombre en clave es BadRory por parte de la empresa, se desarrollaron en forma de dos oleadas: una en octubre de 2022, seguida de una segunda en abril de 2023.

Fuente: https://thehackernews.com