Un grupo de espionaje cibernético previamente desconocido seguido como Gallmaker ha estado apuntando a entidades en los sectores de gobierno, militar y defensa desde al menos 2017
Un nuevo grupo de espionaje cibernético rastreado como Gallmaker apareció en el panorama de amenazas. Según investigadores de Symantec, quienes vieron por primera vez al actor de amenazas, el grupo lanzó ataques contra varias embajadas en el extranjero de un país no identificado de Europa del Este, y organizaciones militares y de defensa en el Medio Oriente.
Gallmaker es un grupo de APT con motivaciones políticas que centró sus operaciones quirúrgicas en los sectores del gobierno, el ejército o la defensa.
Gallmaker, activo desde al menos diciembre de 2017, los investigadores observaron un aumento en sus operaciones en abril y los ataques más recientes se descubrieron en junio.
Los expertos especulan sobre la amenaza de un actor de estado-nación, es interesante observar que la APT se basa totalmente en el código extraído de la Internet pública.
"Este grupo evita el malware personalizado y utiliza las tácticas de vivir fuera de la tierra (LotL) y las herramientas de pirateo disponibles públicamente para llevar a cabo actividades que llevan todas las características de una campaña de ciberespionaje", lee el análisis publicado por Symantec .
“El aspecto más interesante del enfoque de Gallmaker es que el grupo no usa malware en sus operaciones. Más bien, la actividad de ataque que observamos se lleva a cabo exclusivamente utilizando tácticas de LotL y herramientas de hackeo disponibles públicamente ".
Gallmaker usa mensajes de phishing de lanza utilizando un documento de Office con armas que utiliza el protocolo de intercambio dinámico de actualizaciones (DDE) para ejecutar comandos en la memoria del dispositivo de destino.
“Estos documentos de señuelos usan títulos con temas gubernamentales , militares y diplomáticos, y los nombres de los archivos están escritos en inglés o en idiomas cirílicos. Estos documentos no son muy sofisticados, pero la evidencia de infecciones muestra que son efectivos ", continúa Symantec.
"Al ejecutarse únicamente en la memoria, los atacantes evitan dejar artefactos en el disco, lo que hace que sus actividades sean difíciles de detectar".
Una vez que los atacantes obtienen acceso a una máquina de destino, utilizan varias herramientas, entre ellas el reverso de reversa_tcp de Metasploit, el programador de herramientas de Windows PowerShell de Windows Roaming, la consola de WinZip y una biblioteca de código abierto llamada PowerShell de Rex, que ayuda a crear scripts de PowerShell para los beneficios de Metasploit.
Los expertos descubrieron que la APT de Gallmaker está usando tres direcciones IP principales para su infraestructura de C&C, también notaron que los atacantes usaban para eliminar algunas de sus herramientas de las máquinas comprometidas una vez que completaron el ataque, probablemente ocultando rastros de su actividad.
“El hecho de que Gallmaker parece confiar exclusivamente en las tácticas de LotL y en las herramientas de hackeo disponibles públicamente hace que sus actividades sean extremadamente difíciles de detectar. Hemos escrito extensamente sobre el uso cada vez mayor de las herramientas LotL y las herramientas de hackeo disponibles públicamente por los delincuentes cibernéticos. ”Concluyó Symantec. “Una de las razones principales para la creciente popularidad de este tipo de herramientas es evitar la detección; los atacantes esperan "esconderse a simple vista", con su actividad maliciosa oculta en un mar de procesos legítimos ".
Fecha actualización el 2021-10-14. Fecha publicación el 2018-10-14. Categoría: apt Autor: Oscar olg Mapa del sitio Fuente: securityaffairs