Check Point Research (CPR) revela una campaña dirigida contra al menos dos institutos de investigación en Rusia, que forman parte de la corporación Rostec, un conglomerado de defensa de propiedad estatal.
Esta campaña es una continuación de lo que se cree que es una operación de espionaje de larga duración contra entidades relacionadas con Rusia que ha persistido desde al menos julio de 2021. La operación aún puede estar en curso, ya que la actividad más reciente se observó en abril de 2022.
Esta actividad se atribuyó a un actor de amenazas chino, con posibles conexiones con Stone Panda (también conocido como APT10), un actor sofisticado y experimentado respaldado por un estado-nación, y Mustang Panda, otro grupo competente de espionaje cibernético con sede en China. La campaña se ha denominado Twisted Pandapara reflejar la sofisticación de las herramientas observadas y la atribución a China.
Los piratas informáticos utilizan nuevas herramientas, que no se han descrito anteriormente: un sofisticado cargador de varias capas y una puerta trasera denominada SPINNER. Estas herramientas utilizan técnicas avanzadas de evasión y antianálisis, como cargadores en memoria de múltiples capas y ofuscaciones a nivel de compilador.
Fondo
En los últimos dos meses, Check Point Research (CPR) observó varios grupos APT que intentaban aprovechar el conflicto de Rusia y Ucrania y las sanciones contra empresas rusas como cebos para operaciones de espionaje. No sorprende que las propias entidades rusas se hayan convertido en un objetivo atractivo para las campañas de spear-phishing que se aprovechan de las sanciones impuestas a Rusia por los países occidentales. Estas sanciones han ejercido una enorme presión sobre la economía rusa, y específicamente sobre las organizaciones en múltiples industrias rusas.
La investigación mostró que esta campaña es parte de una operación de espionaje china más grande que ha estado en curso contra entidades relacionadas con Rusia durante varios meses. Los investigadores estiman con mucha confianza que la campaña fue llevada a cabo por una APT del estado-nación chino experimentada y sofisticada. Este informe revelará las tácticas y técnicas utilizadas por los actores de amenazas y proporcionará un análisis técnico de las etapas y cargas maliciosas observadas, incluidos cargadores y puertas traseras previamente desconocidos con múltiples técnicas avanzadas de evasión y antianálisis.
campaña de spear-phishing
Por definición, el spear phishing es un ataque de phishing altamente dirigido. Como cualquier ataque de phishing, se puede realizar a través de una variedad de medios diferentes (correo electrónico, SMS, redes sociales, etc.), pero los correos electrónicos de phishing selectivo son los más comunes. Como tipo de phishing, el phishing selectivo funciona de manera muy similar a otros ataques de phishing, pero el proceso de elaboración del mensaje de phishing es un poco diferente.
El 23 de marzo, varios institutos de investigación de defensa con sede en Rusia recibieron correos electrónicos maliciosos. Los correos electrónicos, que tenían como asunto “Lista de personas de <nombre del instituto de destino> bajo sanciones de EE. UU. por invadir Ucrania”, contenían un enlace a un sitio controlado por atacantes que imitaba al Ministerio de Salud de Rusia minzdravros[.]com y tenían un documento malicioso adjunto.
Todos los documentos adjuntos se diseñaron para parecerse a documentos oficiales del Ministerio de Salud de Rusia, con su emblema y título oficiales:
El mismo día, también se envió un correo electrónico de phishing de tipo similar a una entidad desconocida en Minsk, Bielorrusia, con el asunto “Propagación de patógenos mortales en Bielorrusia por parte de EE. UU.”.
Actividad basada en China
Dadas las tácticas, técnicas y procedimientos (TTP) de esta operación, los investigadores confían en que esta campaña haya sido llevada a cabo por un actor de amenazas APT chino. En general, se sabe que los grupos chinos reutilizan y comparten herramientas. Además, la campaña Twisted Panda tiene múltiples superposiciones con actores de ciberespionaje chinos avanzados y de larga data, como las ofuscaciones de flujo de control observadas en SPINNER que fueron utilizadas previamente por el grupo chino APT10 y reaparecieron en una campaña de espionaje reciente de Mustang Panda. Sin embargo, no hay suficiente evidencia sólida, como conexiones basadas en infraestructura, para señalar con el dedo a un grupo chino específico. .
El plan Made in China 2025 define objetivos para que China se convierta en una gran potencia tecnológica y económica, y también identifica los sectores en los que debe convertirse en líder mundial, incluidos la robótica, los equipos médicos y la aviación. Los institutos de investigación de defensa que identificamos como objetivos de este ataque pertenecen a un holding dentro del conglomerado de defensa estatal ruso Rostec Corporación. Es el holding más grande de Rusia en la industria de la radioelectrónica y el objetivo principal de los institutos de investigación específicos es el desarrollo y la fabricación de sistemas de guerra electrónica, equipos radioelectrónicos a bordo especializados en militares, estaciones de radar basadas en el aire y medios de identificación estatal. . Las entidades de investigación también están involucradas en sistemas de aviónica para la aviación civil, el desarrollo de una variedad de productos civiles como equipos médicos y sistemas de control para las industrias de energía, transporte e ingeniería. Esta campaña se basa en técnicas de ingeniería social y en particular en spear phishing. Es probable que el propósito de la operación de espionaje recopile información de objetivos dentro de la industria de defensa rusa de alta tecnología para apoyar a China en su avance tecnológico y plan a largo plazo.
Twisted Panda: Check Point Research revela una campaña de espionaje APT china contra los insitutos de defensa estatales rusos.
Resultados clave:
Fondo
En los últimos dos meses, Check Point Research (CPR) observó varios grupos APT que intentaban aprovechar el conflicto de Rusia y Ucrania y las sanciones contra empresas rusas como cebos para operaciones de espionaje. No sorprende que las propias entidades rusas se hayan convertido en un objetivo atractivo para las campañas de spear-phishing que se aprovechan de las sanciones impuestas a Rusia por los países occidentales. Estas sanciones han ejercido una enorme presión sobre la economía rusa, y específicamente sobre las organizaciones en múltiples industrias rusas.
La investigación mostró que esta campaña es parte de una operación de espionaje china más grande que ha estado en curso contra entidades relacionadas con Rusia durante varios meses. Los investigadores estiman con mucha confianza que la campaña fue llevada a cabo por una APT del estado-nación chino experimentada y sofisticada. Este informe revelará las tácticas y técnicas utilizadas por los actores de amenazas y proporcionará un análisis técnico de las etapas y cargas maliciosas observadas, incluidos cargadores y puertas traseras previamente desconocidos con múltiples técnicas avanzadas de evasión y antianálisis.
campaña de spear-phishing
Por definición, el spear phishing es un ataque de phishing altamente dirigido. Como cualquier ataque de phishing, se puede realizar a través de una variedad de medios diferentes (correo electrónico, SMS, redes sociales, etc.), pero los correos electrónicos de phishing selectivo son los más comunes. Como tipo de phishing, el phishing selectivo funciona de manera muy similar a otros ataques de phishing, pero el proceso de elaboración del mensaje de phishing es un poco diferente.
El 23 de marzo, varios institutos de investigación de defensa con sede en Rusia recibieron correos electrónicos maliciosos. Los correos electrónicos, que tenían como asunto “Lista de personas de <nombre del instituto de destino> bajo sanciones de EE. UU. por invadir Ucrania”, contenían un enlace a un sitio controlado por atacantes que imitaba al Ministerio de Salud de Rusia minzdravros[.]com y tenían un documento malicioso adjunto.
Todos los documentos adjuntos se diseñaron para parecerse a documentos oficiales del Ministerio de Salud de Rusia, con su emblema y título oficiales:
El mismo día, también se envió un correo electrónico de phishing de tipo similar a una entidad desconocida en Minsk, Bielorrusia, con el asunto “Propagación de patógenos mortales en Bielorrusia por parte de EE. UU.”.
Actividad basada en China
Dadas las tácticas, técnicas y procedimientos (TTP) de esta operación, los investigadores confían en que esta campaña haya sido llevada a cabo por un actor de amenazas APT chino. En general, se sabe que los grupos chinos reutilizan y comparten herramientas. Además, la campaña Twisted Panda tiene múltiples superposiciones con actores de ciberespionaje chinos avanzados y de larga data, como las ofuscaciones de flujo de control observadas en SPINNER que fueron utilizadas previamente por el grupo chino APT10 y reaparecieron en una campaña de espionaje reciente de Mustang Panda. Sin embargo, no hay suficiente evidencia sólida, como conexiones basadas en infraestructura, para señalar con el dedo a un grupo chino específico. .
El plan Made in China 2025 define objetivos para que China se convierta en una gran potencia tecnológica y económica, y también identifica los sectores en los que debe convertirse en líder mundial, incluidos la robótica, los equipos médicos y la aviación. Los institutos de investigación de defensa que identificamos como objetivos de este ataque pertenecen a un holding dentro del conglomerado de defensa estatal ruso Rostec Corporación. Es el holding más grande de Rusia en la industria de la radioelectrónica y el objetivo principal de los institutos de investigación específicos es el desarrollo y la fabricación de sistemas de guerra electrónica, equipos radioelectrónicos a bordo especializados en militares, estaciones de radar basadas en el aire y medios de identificación estatal. . Las entidades de investigación también están involucradas en sistemas de aviónica para la aviación civil, el desarrollo de una variedad de productos civiles como equipos médicos y sistemas de control para las industrias de energía, transporte e ingeniería. Esta campaña se basa en técnicas de ingeniería social y en particular en spear phishing. Es probable que el propósito de la operación de espionaje recopile información de objetivos dentro de la industria de defensa rusa de alta tecnología para apoyar a China en su avance tecnológico y plan a largo plazo.
Categorías
Buscar