APT (ataques selectivos)

Hace poco, el equipo de expertos de Kaspersky Lab publicó un informe detallado sobre una operación prolongada de ciberespionaje a cargo de la organización cibercriminal conocida como Winnti.

La presente investigación empezó en otoño de 2011 y todavía continúa. El tema de la investigación es una serie de ataques selectivos contra compañías privadas en todo el mundo.

El 12 de febrero de 2013, FireEye anunció el descubrimiento de un nuevo exploit de día 0 de Adobe Reader que se utiliza para descargar un programa complejo que hasta entonces se desconocía. Bautizamos a este malware como “ItaDuke” porque nos recordaba a Duqu y porque su…

FireEye anunciaba el descubrimiento de un exploit día cero para Adobe Reader que descarga un avanzado programa malicioso, desconocido hasta ahora. Lo llamamos “ItaDuke” porque nos recordaba a Duqu y por los comentarios en italiano que se encuentran en el shellcode.

Este documento incluye información resumida sobre las locaciones conocidas del programa malicioso en los sistemas atacados, los dominios y servidores de control, reglas snort, llaves de codificación RC4, contraseñas y un archivo IOC estándar de la industria con toda esta información.

Además de los documentos de Office (CVE-2009-3129, CVE-2010-3333, CVE-2012-0158), al parecer los atacantes también penetraron las redes de sus víctimas a través de una vulnerabilidad en Java, conocida como el exploit ‘Rhino’ (CVE-2011-3544).

Una campaña de ciberesionaje ha logrado infiltrarse en redes informáticas de organizaciones diplomáticas, gubernamentales y de investigaciones científicas durante los últimos cinco años para recolectar datos e inteligencia de dispositivos móviles, sistemas informáticos y equipos de redes.

Hasta el año 2012 hubo sólo dos casos de uso de armas cibernéticas: Stuxnet y Duqu. Su análisis provocó que la comunidad informática ampliara su concepto de “guerra cibernética”

Este informe es la continuación de la serie de informes analíticos anuales de Kaspersky Lab. En él se analizan los principales problemas que afectan a los usuarios particulares y corporativos, relacionados con los programas maliciosos, potencialmente indeseables y de estafas, como también del spam, phishing y los diferentes tipos de actividad de los hackers.

En el tercer trimestre de 2012 los productos de Kaspersky Lab han detectado y neutralizado más de 1.347.231.728 de objetos maliciosos.

Puedes leer nuestro Informe Técnico Completo sobre SPE/miniFlame Aquí (en inglés).
En mayo de 2012, una investigación de Kaspersky Lab reveló un nuevo malware gubernamental de ciberespionaje que llamamos “Flame”. Nuestra investigación también identificó características exclusivas de los módulos de Flame. Guiándonos por estas características, descubrimos que, en 2009, la primera variante del gusano Stuxnet incluía un módulo que se creó en base a la plataforma Flame. Esto confirmó que había algún tipo de colaboración entre los grupos que desarrollaron las plataformas Flame y Tilded (Stuxnet/Duqu).

En este artículo brindamos nueva información que se recolectó durante el análisis forense de los servidores de comando y control de Flame.

Y sólo dos semanas después, otra compañía de energía en el medio oriente (RasGas) fue víctima de otro ataque de malware, y los medios comenzaron a preguntarse si Shamoon tenía algo que ver. Dejaremos la especulación para otros y nos limitaremos a compartir detalles técnicos. Esta es la continuación de nuestra investigación sobre Shamoon.

Seguimos con el análisis del programa malicioso Shamoon. Este artículo contiene información sobre los detalles de las muestras que hemos analizado.

Hace unas horas recibimos una interesante colección de muestras de nuestros colegas de otra compañía de soluciones antivirus.