CIBERSEGURIDAD

FireEye expone la táctica de ofuscación única del actor de APT

FireEye Threat Intelligence y Microsoft Threat Intelligence Center investigaron una nueva táctica de ofuscación de comando y control (C2) que se había utilizado en Microsoft TechNet, un portal web para profesionales de TI. FireEye ha determinado que APT17, un grupo de amenazas persistentes avanzadas con sede en China, publicó en los hilos del foro y creó páginas de perfil para alojar direcciones IP C2 codificadas que dirigirían una variante de la puerta trasera de BLACKCOFFEE a su servidor C2. La seguridad de TechNet no se vio comprometida con esta táctica, que también podría funcionar en otros foros y tableros.
APT17 tiene una historia de apuntar a entidades gubernamentales de EE. UU., organizaciones internacionales no gubernamentales y empresas privadas de todo el mundo, incluidas las de la industria de defensa, bufetes de abogados, empresas de tecnología de la información y empresas mineras. El grupo también ha sido uno de los pocos, pero cada vez más, grupos que utilizan sitios web populares para sus fines legítimos a fin de codificar sus comunicaciones C2. Anteriormente, se había observado que APT17 utilizaba los populares motores de búsqueda Google y Bing para ocultar sus actividades y ubicaciones de alojamiento de los profesionales de la seguridad.
“Esta última táctica de APT17 de utilizar las funcionalidades legítimas de los sitios web para realizar sus comunicaciones muestra lo difícil que es para las organizaciones detectar y prevenir amenazas avanzadas”, dijo Laura Galante, Gerente de Inteligencia de Amenazas, FireEye. “Dada su efectividad, anticipamos que esta codificación y ofuscación se convertirá en una táctica verdaderamente omnipresente adoptada por los actores de amenazas en todo el mundo. Sin embargo, al trabajar en estrecha colaboración con empresas como Microsoft y organizaciones específicas para desarrollar inteligencia sobre amenazas, podemos ayudar a los profesionales de la seguridad e interrumpir estas actividades «.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar