Los investigadores de Kaspersky notaron una nueva campaña de los piratas informáticos APT chinos que se enfocan en los sistemas con brechas de aire de las organizaciones industriales en Europa del Este.
Según los informes, los piratas informáticos están utilizando 15 implantes en su procedimiento, todos con diferentes propósitos, desde mantener el acceso remoto hasta robar datos. Los investigadores compartieron TTP, IoC y otros detalles para que los administradores del sistema identificaran la actividad de la amenaza y se mantuvieran seguros.
Robo de datos industriales en Europa
Investigadores de Kaspersky han detallado la nueva campaña de APT-31 (un grupo de piraterĂa patrocinado por el estado chino tambiĂ©n conocido como Circonio) dirigido a sistemas industriales con espacios de aire en Europa del Este.
a lo desconocido, Los sistemas con espacio de aire son esas máquinas aisladas de la Internet pĂşblica y otras computadoras en una red. que almacenan datos crĂticos de forma segura. Las empresas tienen sus secretos comerciales almacenados a salvo de terceros.
Dado que estos sistemas con brechas de aire contienen datos cruciales, los piratas informáticos están interesados ​​​​en atacarlos, aunque sea difĂcil. A menudo utilizan ataques de ingenierĂa social extremos o unidades USB para infectar los sistemas y propagarse de forma remota desde allĂ.
kaspersky anotado una de esas campañas de APT-31, que comenzó en mayo del año pasado. En tres etapas, el actor de amenazas utiliza 15 implantes para obtener acceso remoto, mantener la persistencia, recopilar datos y exportarlos a los servidores de comando y control (C2) del pirata informático.
Los investigadores tambiĂ©n notaron un implante dedicado que descifra e inyecta su carga Ăştil en la memoria de un proceso legĂtimo, duerme durante 10 minutos y eventualmente roba todos los archivos necesarios. El malware archiva los archivos robados usando WinRAR y los almacena en carpetas locales temporales, y finalmente exporta los datos a Dropbox más tarde.
El informe técnico de Kaspersky contiene todos los datos necesarios, como hashes de malware, un conjunto completo de indicadores de compromiso, TTP, etc., para identificar y frustrar los ataques y mantener seguros los sistemas con brechas de aire.