CONOCIMIENTO pertenece al mundo
El DragonOK ligado a China continúa herramientas y tácticas y entidades seleccionadas actualización en varios países, entre ellos Rusia y el Tíbet.
Era septiembre de 2014, cuando los investigadores de seguridad en FireEye vistos por primera vez las actividades de espionaje cibernético de un grupo patrocinado por el estado chino llamado DragonOK.
En ese momento, FireEye descubrió dos campañas de piratería llevadas a cabo por grupos distintos que operan en regiones separadas de China, que parecen funcionar en paralelo.
El primer equipo de hackers llamado Moafee, estaba destinada a organizaciones militares y gubernamentales, que eran de alguna manera involucrados en el sur de China disputas mar. Los atacantes golpearon diferentes organizaciones, como se explica por los investigadores de la FireEye en un blog, y parece operar de la provincia de Guangdong y golpear a las entidades que trabajan en la industria de defensa en los Estados Unidos.
El segundo equipo, conocido como DragonOK, lleva a cabo operaciones de espionaje corporativo en empresas de alta tecnología y de fabricación en Japón y Taiwán.
DragonOK está de vuelta y, recientemente, estaba destinada a organizaciones japonesas en varias industrias, incluyendo la fabricación, la tecnología, la energía, la educación superior y de semiconductores.
Mientras que Japón se considera el principal objetivo de la APT, los hackers también atacaron individuos u organizaciones en Taiwán, el Tíbet, y Rusia.
De acuerdo con los expertos de Palo Alto Networks, uno de los programas maliciosos utilizados por el DragonOK APT fue doblada Sysget y fue utilizado para orientar las entidades en Taiwán.
El malware Sysget fue entregado de manera directa a través de correos electrónicos de phishing, así como en documentos RTF que desencadenan la falla CVE-2015-1641 que a su vez aprovechó un código shell único. Los expertos observaron tres nuevas versiones distintas de Sysget malware que se han mejorado para hacer más difícil la detección y el análisis de las soluciones de seguridad.
PaloAlto también observó hackers DragonOK utilizando otros programas maliciosos dos familias, la isspace y TidePool.
"Isspace" es una evolución de la puerta trasera NFlog utilizado tanto por DragonOK y Moafee. El segundo TidePool el malware se observó a principios de este año en ataques dirigidos propulsados por un grupo APT chino diferente, denominada Operación Ke3chang.
De nuevo en 2013, los investigadores de seguridad en FireEye vieron a un grupo de piratas informáticos vinculados-China que se llevó a cabo una campaña de espionaje en los ministerios de asuntos extranjeros en Europa. La campaña se llamó "Operación Ke3chang, 'los mismos actores de amenaza fueron vistos la orientación personal en las embajadas indias en todo el mundo a principios de este año.
DragonOK ahora se utiliza el malware TidePool en ataques dirigidos contra las organizaciones en Rusia y el Tíbet.
El análisis publicado por investigadores de Palo Alto Networks incluye vínculos entre los dominios C & C del malware distintos utilizado por el DragonOK (es decir TidePool, isspace y Sysget), y otros indicadores de compromiso.
"El grupo DragonOK son bastante activos y continuar la actualización de sus herramientas y tácticas. Su conjunto de herramientas está siendo desarrollado activamente para que la detección y el análisis más difícil. Además, parece que están utilizando conjuntos de herramientas de malware adicionales tales como TidePool. "Afirma Palo Alto Networks. "Mientras que Japón sigue siendo la región más atacado por este grupo, se ven a ser la búsqueda de víctimas en otras regiones, tales como Taiwán, el Tíbet, y Rusia."
Fuente: http: //securityaffairs.co/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario