AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### APT Avanzado Utiliza Herramientas Legítimas para Robo de Datos y Cryptomining en Organizaciones Rusas

admin

#### Introducción

Desde diciembre de 2023, un grupo avanzado de amenazas persistentes (APT) ha intensificado sus operaciones en suelo ruso, empleando herramientas legítimas para el robo de datos, la evasión de mecanismos de detección y la distribución de cryptominers. Este modus operandi, cada vez más frecuente, plantea desafíos significativos para los equipos de seguridad, especialmente en entornos donde la monitorización de aplicaciones legítimas no está suficientemente reforzada. El presente artículo analiza en profundidad las técnicas empleadas, los riesgos asociados y las recomendaciones para mitigar este tipo de amenazas.

#### Contexto del Incidente o Vulnerabilidad

El incidente afecta principalmente a organizaciones localizadas en la Federación Rusa, con un enfoque particular en sectores estratégicos y corporativos. Los atacantes, identificados como un grupo APT cuya atribución aún no ha sido confirmada de manera pública, emplean una combinación de ingeniería social, explotación de vulnerabilidades y abuso de herramientas administrativas legítimas (Living Off the Land Binaries, LOLBins) para mantenerse bajo el radar y maximizar el impacto de sus campañas.

La campaña se detectó por primera vez en diciembre de 2023 y ha mostrado una notable sofisticación en el uso de herramientas nativas del sistema operativo Windows, como PowerShell, bitsadmin y WMI, así como software legítimo de administración remota y transferencia de archivos. El objetivo principal ha sido la exfiltración de información sensible y la monetización secundaria mediante la instalación de cryptominers, principalmente variantes de XMRig.

#### Detalles Técnicos

Los investigadores han identificado varios indicadores de compromiso (IoC) y técnicas específicas asociadas con esta campaña:

– **Vectores de ataque inicial**: spear-phishing dirigido con documentos ofuscados y enlaces maliciosos, así como la explotación de vulnerabilidades conocidas en servidores expuestos (por ejemplo, CVE-2023-23397 en Microsoft Outlook).
– **Tácticas, Técnicas y Procedimientos (TTPs) MITRE ATT&CK**:
– **T1059**: Execution through Command-Line Interface (PowerShell, cmd.exe)
– **T1027**: Obfuscated Files or Information
– **T1071**: Application Layer Protocol (uso de HTTP/HTTPS para C2)
– **T1569**: System Services: Service Execution
– **T1105**: Ingress Tool Transfer (descarga de payloads adicionales)
– **Herramientas utilizadas**:
– **PowerShell y WMI** para la ejecución remota de scripts y persistencia.
– **bitsadmin** para transferencia encubierta de cargas útiles.
– **Rclone y WinSCP**, herramientas legítimas de sincronización y transferencia de archivos, para la exfiltración de información.
– **XMRig** como cryptominer principal, desplegado tras la fase de reconocimiento y robo de datos.
– **Exploits conocidos**: Si bien no se ha confirmado el uso de exploits públicos a gran escala, se ha detectado automatización mediante frameworks como Metasploit para la explotación de vulnerabilidades en servidores internos mal parcheados.
– **IoC relevantes**: Dominios de C2 camuflados en servicios cloud legítimos, hashes de archivos maliciosos y rutas de acceso inusuales en los directorios de programas.

#### Impacto y Riesgos

El impacto de esta campaña es doble:
1. **Robo de información**: La exfiltración de datos sensibles puede desencadenar filtraciones, extorsión o espionaje industrial, afectando directamente la reputación y el cumplimiento normativo de la organización (GDPR, NIS2).
2. **Cryptojacking**: La instalación de cryptominers reduce el rendimiento de los sistemas afectados y puede provocar pérdidas económicas significativas debido al aumento del consumo energético y al desgaste prematuro de la infraestructura.

Según estimaciones de firmas de ciberseguridad, hasta un 12% de las organizaciones rusas analizadas presentaban síntomas de infecciones relacionadas con XMRig y herramientas asociadas, con pérdidas potenciales que superan los 500.000 euros en costes operativos y de remediación.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a este tipo de ataques, se recomiendan las siguientes medidas:

– **Monitorización avanzada de LOLBins y uso anómalo de herramientas legítimas** mediante SIEM y EDR.
– **Aplicación inmediata de parches** para vulnerabilidades conocidas, especialmente CVE-2023-23397 y otras afectando software de correo y acceso remoto.
– **Restricción de ejecución de PowerShell y WMI** para usuarios no autorizados.
– **Segmentación de red y control de salida de datos** para detectar y bloquear exfiltración mediante Rclone, WinSCP y similares.
– **Educación y concienciación del usuario final** sobre spear-phishing y buenas prácticas de seguridad.
– **Implementación de listas blancas de aplicaciones** (Application Whitelisting) y revisión periódica de permisos administrativos.

#### Opinión de Expertos

Analistas de amenazas de empresas líderes como Kaspersky y Group-IB coinciden en que el abuso de herramientas legítimas representa una tendencia al alza en los ataques dirigidos. “La frontera entre actividad administrativa y comportamiento malicioso es cada vez más difusa, lo que requiere un enfoque proactivo en la monitorización y correlación de eventos”, señala Sergey Golovanov, principal investigador de Kaspersky. Además, enfatizan la importancia de la colaboración entre equipos de seguridad y la automatización para responder con rapidez ante este tipo de ataques.

#### Implicaciones para Empresas y Usuarios

Las empresas deben adaptar sus estrategias de defensa para no solo protegerse frente a malware tradicional, sino también contra el uso malicioso de herramientas legítimas. El cumplimiento de normativas como GDPR y NIS2 obliga a asegurar tanto la protección de datos como la resiliencia operativa. Para los usuarios, el aumento de ataques de spear-phishing requiere un nivel superior de alerta y formación continua.

#### Conclusiones

El auge de campañas APT que abusan de herramientas legítimas plantea un escenario complejo para la ciberdefensa. La combinación de exfiltración de datos y cryptojacking obliga a las organizaciones a revisar sus políticas de seguridad y fortalecer controles internos. La colaboración sectorial y la inversión en tecnologías de detección avanzada serán clave para mitigar estos riesgos en el corto y medio plazo.

(Fuente: www.darkreading.com)