APT (ataques selectivos)

Por mucho tiempo se había considerado al grupo Winnti como una fuente china de amenazas que apuntaban específicamente a desarrolladores de juegos.

Una nueva vulnerabilidad “de día cero” le ayuda a inyectar en el kernel de la memoria y mantenerse escondido

Hace tres años, un 28 de mayo de 2012, anunciábamos el descubrimiento de un programa malicioso conocido como Flame. Al mismo tiempo que publicábamos nuestras Preguntas y Respuestas sobre Flame, CrySyS Lab publicaba su detallado análisis de sKyWIper. Unos días antes, Maher…

Surgen más técnicas de intrusiónAnalicemos un par de interesantes técnicas de distribución de un APT que se ha mantenido activo durante los últimos años: Spring Dragon. Un documento publicado hoy por nuestros colegas de Palo Alto Networks presenta algunos datos…

Nuestro último informe, ‘Las crónicas del APT Hellsing: El imperio contrataca’ comenzó con una introducción al APT Naikon, describiéndolo como ‘uno de los APTs más activos en Asia, especialmente en el área del mar del sur de China’. Considerando el volumen de las actividades de Naikon y sus incesantes y repetidos ataques, nos pareció que una confrontación como esta merecía la pena un análisis dedicado.

La principal tendencia de la evolución de los programas maliciosos para dispositivos móviles está relacionada con su monetización: los escritores de virus tratan de que sus creaciones puedan extraer el dinero y los datos bancarios de los usuarios usando diversos métodos.

CozyDuke (también conocido como CozyBear, CozyCar y “Office Monkeys”) es una amenaza que se intensificó notablemente en el segundo semestre de 2014, cuando atacó a una serie de blancos.

Uno de los grupos APT más activos en Asia, y especialmente en los alrededores del Mar del Sur de China, es el conocido como ‘Naikon’.

Estos días la actividad del APT Volatile Cedar en el Medio Oriente ha creado cierto alboroto, pues se propaga no sólo a través de RATs personalizados, sino también mediante componentes USB, según el informe de Check Point.

En esta entrega, examinaremos de cerca varios plugins adicionales, nos concentraremos en los detalles sobre los ataques contra Siemens, y en algunas fallas de su inusual código.

El disco CDROM utilizado en el ataque de Houston representa una operación rara e inusual para el grupo Equation.

Los Halcones del desierto (Desert Falcons) es un nuevo grupo de cibermercenarios que se dedica al ciberespionaje en el Medio Oriente.

Durante nuestra investigación del grupo Equation, creamos una detección especial para la librería de explotación del grupo, bautizado como “PrivLib”. Esta detección fue activada por un gusano de 2008 que utilizaba el exploit LNK de Stuxnet para replicarse, bautizado como Fanny.

No se sabe cuándo el grupo Equation comenzó su ascenso. Algunas de las primeras muestras de este programa malicioso se compilaron en el 2002.

La historia de Carbanak comenzó cuando un banco de Ucrania nos pidió ayuda con una investigación forense. Se estaban robando misteriosamente el dinero desde los cajeros automáticos: Al principio creímos que se trataba del programa malicioso Tyupkin. Sin embargo,…