NUEVO GRUPO DE CIBERDELINCUENTES NOMBRADO CLASIOPA

23/02/2023

BOLETÍN NRO 2023-120

Recientemente se ha descubierto un nuevo grupo de ciberdelincuentes, denominado Clasiopa, que ha centrado sus ataques en una organización de investigación de materiales en Asia. La identidad y los orígenes de Clasiopa son desconocidos en este momento, pero la herramienta que utilizan para llevar a cabo sus ataques, Backdoor.Atharvan, es personalizada y única.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Se desconoce cómo Clasiopa logró acceder a la organización objetivo, pero se sospecha que podría haber utilizado ataques de fuerza bruta en servidores públicos. El grupo ha empleado varias tácticas y técnicas para ocultar su presencia y exfiltrar información de la organización atacada, incluida la eliminación de registros de eventos y la creación de una tarea programada para enumerar nombres de archivos.

Además, los ciberdelincuentes utilizaron dos paquetes de software legítimos, servidores Agile DGS y Agile FD, desarrollados por Jiangsu, que se utilizan para la seguridad y protección de documentos en tránsito. Los archivos maliciosos se colocaron en una carpeta llamada "dgs" y uno de los backdoor utilizado se renombró de atharvan.exe a agile_update.exe. Aunque no está claro si los ciberdelincuentes inyectaron o instalaron estos paquetes de software.

El grupo Clasiopa también utilizó otras herramientas en sus ataques, incluido Lilith RAT modificado y Thumbsender, que es una herramienta de piratería que enumera nombres de archivos en la computadora y los guarda en un archivo antes de enviarlos a una dirección IP específica. La herramienta de proxy personalizada también se utilizó en los ataques.

Aunque los detalles sobre Clasiopa son limitados, se sabe que el grupo ha utilizado una combinación de herramientas personalizadas y técnicas sofisticadas para llevar a cabo sus ataques. La naturaleza de sus objetivos sugiere que Clasiopa está interesado en la investigación de materiales y podría estar buscando información para beneficio propio o para vender a otros.

Indicadores de Compromiso

Hash

MD5: 7c30ed6a612a1fd252565300c03c7523

SHA-256: 8aa6612c95c7cef49709596da43a0f8354f14d8c08128c4cb9b1f37e548f083b

MD5: 81738405a7783c09906da5c7212e606b

SHA-256: 38f0f2d658e09c57fc78698482f2f638843eb53412d860fb3a99bb6f51025b07

MD5: 59ec24539c786e6ac9467dad3183c280

SHA-256: f93ddb2377e02b0673aac6d540a558f9e47e611ab6e345a39fd9b1ba9f37cd22

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Aplicar sementacion, pirncipios de privigelios minios, desactivar powershel, principio de minio privilegio.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Clasiopa: New Group Targets Materials Research
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​