The White Company una nueva APT descubierta por Cylance

El Equipo de inteligencia contra amenazas de Cylance descubrió un nuevo grupo de espionaje cibernético que utiliza herramientas y técnicas sofisticadas para evadir la detección durante una campaña de espionaje a gran escala y de un año de duración dirigida al ejército y al gobierno paquistaníes.

La APT fue apodada "La Compañía Blanca en reconocimiento de las muchas medidas elaboradas que la organización toma para encubrir todos los signos de su actividad y evadir la atribución" y, según Cylance , muestra todos los signos de ser un grupo avanzado de amenaza persistente patrocinado por un Estado nacional.

El equipo de investigación de amenazas de Cylance observó a la Compañía Blanca APT durante una serie de operaciones secretas que denominaron "Operación Shaheen", y durante su investigación demostró que tiene "acceso a explotaciones de día cero y desarrolladores de explotación".

Además, al igual que en el caso de otras operaciones de amenazas igualmente complejas, The White Company es capaz de desarrollar malware y exploits específicamente diseñados para cada uno de sus objetivos, tiene capacidades avanzadas de reconocimiento de objetivos y también utiliza sistemas automatizados de creación de exploits.

Cylance siguió los esfuerzos de espionaje de la APT durante una campaña de un año de duración dirigida al ejército y al gobierno de Pakistán, y les permitió crear un perfil de la APT que no coincide con ningún otro grupo activo de la APT activo en este momento.

La compañía blanca APT tiene acceso a recursos a nivel nacional y estatal.

"El perfil que hemos dibujado no se parece al de los Estados Unidos, los Cinco Ojos o la India, ni a ningún grupo conocido ruso, chino, norcoreano, iraní o israelí", dice Cylance.

El APT de la Compañía Blanca usa una multitud de métodos elaborados para escapar de la atribución, como la evasión de antivirus (se observó maniobrando alrededor de Sophos, BitDefender, ESET, Kaspersky, Avira , Avast !, AVG y Quick Heal) y malware diseñado para detectar si se analiza y limpiar todos los rastros del sistema informático de destino.

Además, se ha observado que el grupo de amenazas utiliza malware altamente confuso con cargas útiles almacenadas en contenedores similares a muñecas matryoshka, así como el uso de infraestructura ya compuesta para eludir las herramientas y técnicas de detección de huellas dactilares de APT.

Además, "este actor de la amenaza tiene una gran conciencia de los métodos típicos, los prejuicios y las suposiciones de muchos en la investigación de seguridad y las comunidades de investigación", dice Cylance, "y han demostrado la capacidad de usar ese enfoque común contra esa comunidad por "minando deliberadamente esos supuestos y dejando evidencias contradictorias que efectivamente distraen, retrasan y degradan la capacidad de analizar su trabajo".

La información detallada sobre los métodos y herramientas utilizados por The White Company APT durante la Operación Shaheen está disponible en el informe de Cylance " The White Company: Operation Shaheen, Inside a New Threat Actor's Espionage Campaign ".

Fecha actualización el 2021-11-13. Fecha publicación el 2018-11-13. Categoría: apt Autor: Oscar olg Mapa del sitio Fuente: softpedia
apt