HayCanal.com

Investigando la campaña de espionaje Pawn Storm

Investigando la campaña de espionaje Pawn Storm

El destacado grupo de amenazas persistentes avanzadas, APT, Pawn Storm, ha sido conocido por tener como objetivo a entidades de alto perfil, desde gobiernos hasta medios de comunicación durante años.

Este trabajo de investigación de Trend Micro analiza las formas en que el grupo sigue operando y cómo comprometió direcciones de correo electrónico y servidores para facilitar los ataques de phishing de credenciales.

Pawn Storm, también conocido por los apodos APT28, Sofacy, Sednit, Fancy Bear y Strontium, es uno de los grupos APT más destacados del mundo. Esta campaña de  ciberespionaje en curso con actividades que se remontan a 2004, ha ganado notoriedad tras dirigir ciberataques contra personal de contratistas de defensa, embajadas y fuerzas militares de Estados Unidos y sus aliados, así como contra medios de comunicación internacionales y diferentes industrias y sectores civiles, entre otros objetivos. Entre las víctimas notables del pasado se encuentran el partido de la Unión Demócrata Cristiana Alemana (CDU), la Agencia Mundial Antidopaje (AMA) y el Comité Nacional Democrático (DNC). Hillary Clinton ha culpado de los correos electrónicos confidenciales que ayudaron a Donald Trump a llegar al poder, a este último.

Durante años, Trend Micro ha seguido de cerca a Pawn Storm y sus diversos vectores y metodologías de ataque, que generalmente han propiciado la interrupción geopolítica y el espionaje. No hay que equivocarse, Pawn Storm es uno de los grupos de APT más sofisticados y con más recursos que se han visto y, gracias al seguimiento realizado por Trend Micro de sus herramientas, tácticas y procedimientos (TTP), la compañía ha podido detallar algunas nuevas tendencias en 2019.

Esta nueva operación ha empleado varios métodos de ataque, incluido el uso de correos electrónicos de spear-phishing contra objetivos de alto perfil, un elemento básico en el arsenal de Pawn Storm. Estas son algunas de las muchas amenazas que el grupo ha ejercido contra sus objetivos:

  • Ataques watering hole contra sitios web comprometidos visitados frecuentemente por los objetivos
  • Abuso de la Autenticación Abierta (OAuth) para objetivos comprometedores en esquemas avanzados de ingeniería social
  • Kit de exploits privados que incluía zero-days y vulnerabilidades comunes utilizadas para infectar objetivos
  • Spyware iOS diseñado específicamente para espionaje
  • Tabnabbing para persuadir a los usuarios para que envíen credenciales a sitios conocidos (suplantados).

Según Feike Hacquebord, del equipo de Trend Micro Research, se ha descubierto más información sobre los métodos de ataque actuales del grupo, que se centran principalmente en el escaneo de servidores y el phishing de credenciales entre entidades de alto perfil. A continuación Trend Micro ofrece una visión general de otros de los hallazgos notables encontrados el año pasado.

1

La configuración de Pawn Storm utilizada frecuentemente para enviar spam de phishing de credenciales en 2019

Desde mayo de 2019, Pawn Storm ha estado abusando de las direcciones de correo electrónico comprometidas para enviar spam de phishing de credenciales. La mayoría de los sistemas comprometidos eran de compañías de defensa en Oriente Medio. Otros objetivos incluían organizaciones de los sectores de transporte, servicios públicos y administración pública.

Pawn Storm también probó con frecuencia muchos servidores de correo electrónico y de Microsoft Exchange Autodiscover en todo el mundo. El grupo buscó sistemas vulnerables en un intento de obtener credenciales por fuerza bruta, extraer datos de correo electrónico y enviar oleadas de spam.

2

La configuración que utilizamos para monitorizar las campañas de email de Pawn Storm durante más de dos años

La supervisión realizada por Trend Micro durante más de dos años de todas las solicitudes de DNS para los dominios de Pawn Storm también permitió supervisar y detectar las campañas de phishing de credenciales que el grupo ha facilitado desde sus servidores de 2017 a 2019. Las campañas incluyeron oleadas de spam contra proveedores de correo web en Estados Unidos, Rusia e Irán.


Noticias que marcan tendencia en el sector IT

Últimas Noticias

Nombramientos