29 de agosto de 2024Ravie LakshmananCiberespionaje / Malware Una organización sin fines de lucro que apoya los derechos humanos de los vietnamitas ha sido el objetivo de una campaña de varios años diseñada para distribuir una variedad de malware en los hosts comprometidos. La empresa de ciberseguridad Huntress atribuyó la actividad a un grupo de amenazas conocido como APT32, un grupo de piratas informáticos alineado con los vietnamitas que también se conoce como APT-C-00, Canvas Cyclone (anteriormente Bismuth), Cobalt Kitty y OceanLotus. Se cree que la intrusión ha estado en curso durante al menos cuatro años. «Esta intrusión tiene una serie de superposiciones con técnicas conocidas utilizadas por el actor de amenazas APT32/OceanLotus y un grupo demográfico objetivo conocido que se alinea con los objetivos de APT32/OceanLotus», dijeron los investigadores de seguridad Jai Minton y Craig Sweeney. OceanLotus, activo desde al menos 2012, tiene un historial de ataques a redes de empresas y gobiernos en países del este asiático, particularmente Vietnam, Filipinas, Laos y Camboya con el objetivo final de espionaje cibernético y robo de propiedad intelectual. Las cadenas de ataque suelen utilizar señuelos de phishing como vector de penetración inicial para ofrecer puertas traseras capaces de ejecutar shellcode arbitrario y recopilar información confidencial. Dicho esto, también se ha observado que el grupo orquesta campañas de abrevaderos desde 2018 para infectar a los visitantes del sitio con una carga útil de reconocimiento o recolectar sus credenciales. El último conjunto de ataques ensamblados por Huntress abarcó cuatro hosts, cada uno de los cuales fue comprometido para agregar varias tareas programadas y claves del Registro de Windows que son responsables de lanzar Cobalt Strike Beacons, una puerta trasera que permite el robo de cookies de Google Chrome para todos los perfiles de usuario en el sistema y cargadores responsables de lanzar cargas útiles de DLL integradas. El desarrollo se produce en un momento en que los usuarios de Corea del Sur son el objetivo de una campaña en curso que probablemente aproveche el phishing selectivo y los servidores vulnerables de Microsoft Exchange para distribuir shells inversos, puertas traseras y malware VNC para obtener el control de las máquinas infectadas y robar credenciales almacenadas en los navegadores web. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.