Symantec siguió la pista de un nuevo grupo de APT llamado Thrip que apuntaba a operadores de satélite, compañías de telecomunicaciones y contratistas de defensa en los EE.UU
Los grupos chinos de APT siempre están muy activos, los expertos en Symantec han rastreado un nuevo grupo de APT llamado Thrip que ha violado los sistemas de operadores de satélites, compañías de telecomunicaciones y contratistas de defensa en los Estados Unidos y el sudeste asiático.
El grupo Thrip ha estado activo desde 2013, pero esta es la primera vez que Symantec comparte públicamente detalles de sus actividades.
"Hemos estado monitoreando Thrip desde 2013 cuando descubrimos una campaña de espionaje orquestada desde sistemas basados en China. Desde nuestro descubrimiento inicial, el grupo cambió sus tácticas y amplió la gama de herramientas que utilizaba. Inicialmente, dependía en gran medida del malware personalizado, pero en esta ola más reciente de ataques, que comenzó en 2017, el grupo ha cambiado a una mezcla de malware personalizado y vive de las herramientas terrestres. "Segun el análisis publicado por Symantec.
Thrip APT utilizó una combinación de malware personalizado y herramientas legítimas en sus ataques, la lista de víctimas es larga e incluye un operador de comunicaciones satelitales.
Los hackers se enfocaron en dispositivos involucrados en operaciones y computadoras infectadas que ejecutan software que monitorea y controla satélites, esta circunstancia sugiere que los atacantes también podrían estar interesados en el sabotaje.
Otra víctima del grupo es una compañía especializada en imágenes geoespaciales y mapeo.
"[Thrip] identificó equipos con el software MapXtreme GIS (Sistema de Información Geográfica) que se utiliza para tareas tales como el desarrollo de aplicaciones geoespaciales personalizadas o la integración de datos basados en la ubicación en otras aplicaciones. También se dirigió a máquinas que ejecutan Google Earth Server y el software de imágenes Garmin ", continúa el análisis.
"El operador de satélites no era el único objetivo de comunicaciones al que Thrip estaba interesado. El grupo también se había dirigido a tres operadores de telecomunicaciones diferentes, todos con sede en el sudeste asiático".
El grupo también apuntó a tres empresas de telecomunicaciones en el sudeste asiático y un contratista de defensa.
El arsenal del grupo incluye el robo de datos Trojan.Rikamanu y su evolución Infostealer.Catchamas que implementa características de rastreo de datos más sofisticadas y capacidades de evasión.
El grupo APT también utilizó Trojan.Mycicil, un keylogger que está disponible para la venta en mercados subterráneos chinos , y el malware Backdoor.Spedear y Trojan.Syndicasec.
El Thrip APT también incluye muchas herramientas legítimas, incluidas la utilidad Windows SysInternals PSExec, PowerShell, Mimikatz y el software de acceso remoto LogMeIn.
En el análisis publicado por Symantec se informan más detalles, incluidos IoC.
Fecha actualización el 2021-06-20. Fecha publicación el 2018-06-20. Categoría: hackers. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs