APT CHINO VULNERA ENTIDADES DIPLOMÁTICAS EN SUDAMÉRICA

14/02/2023

BOLETÍN NRO 2023-098

Recientemente se ha descubierto que ciberdelincuentes de origen chino están dirigiendo sus ataques contra entidades gubernamentales de países en Sudamérica con el objetivo de extraer información sensible.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Este grupo de atacantes, denominado como DEV-0147, está llevando a cabo una campaña de intrusiones mediante el uso del malware “ShadowPad”, también conocido como “PoisonPlug”, el cual es un troyano de acceso remoto que permite mantener persistencia y ejecutar distintos comandos para las siguientes etapas de la intrusión. Este malware ha sido observado frecuentemente utilizado por ciberdelincuentes vinculados a entidades gubernamentales chinas como su servicio de inteligencia y fuerzas armadas. 

Otro malware empleado en esta campaña, denominado como “QuasarLoader”, permite desplegar payloads adicionales en las computadoras que han sido comprometidas. Durante la etapa inicial de acceso a sus objetivos se cree que aplicaciones vulnerables sin parchar y el spear phishing son los métodos preferidos por los ciberdelincuentes. 

Durante la etapa posterior a la explotación de vulnerabilidades, continua el reconocimiento interno y movimiento lateral en la infraestructura de red, también utilizan el conocido software de Cobalt Strike para tareas de C&C y exfiltración de datos. 

Usualmente este grupo de atacantes tiene como objetivos entidades de países en Asia y Europa, sin embargo, se espera que siga realizando ataques contra entidades de Sudamérica utilizando el mismo malware de ShadowPad, a pesar de que esta muy bien documentado e identificado, esto sugiere que han tenido mucho éxito utilizándolo.

Indicadores de Compromiso

IP

185[.]239[.]70[.]229

Hash

MD5: f097f6eeb9266d5b5d7b796005389c60

SHA-256: 92d224568617795959723e2cc22d6e244d225c2210758f08965d5844f24feed8

MD5: 111ec9b1e728b6e60a97b8c27f489905

SHA-256: aef610b66b9efd1fa916a38f8ffea8b988c20c5deebf4db83b6be63f7ada2cc0

MD5: 858e1e292efad8c6d33020272c483f59

SHA-256: b5331eea1d13abaa13cdb56f0bb1fccdd335b8223a09f8eff3f68ef655568fa9

MD5: fed717050bc274fda5edf7169eb91e95

SHA-256: 452b08d6d2aa673fb6ccc4af6cebdcb12b5df8722f4d70d1c3491479e7b39c05

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Chinese Hackers Targeting South American Diplomatic Entities with ShadowPad
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​