Codoso chino Espionaje Grupo Vinculado con nuevos ataques
Los investigadores de seguridad de Palo Alto Networks están informando
sobre aumento de la actividad del grupo ciberespionaje chino vinculado
que previamente hackeado Forbes.com y posteriormente Samsung Pay.
El grupo, conocido como c0d0s0, o simplemente como Codoso, no parecen tener una dirección clara y el propósito de esta campaña más reciente y parece estar cosechando información sobre los usuarios de Internet al azar, probablemente la construcción de una base de datos de posibles peones para futuros ataques.
Al igual que antes, el grupo está empleando algunos de los métodos de ataque más sofisticados visto todo, desplegando malware a través de sitios web comprometidos pero legítimos, a través de técnicas de abrevadero.
También hubo casos en que se utilizaron los correos electrónicos de phishing de lanza contra objetivos en los sectores de telecomunicaciones, alta tecnología, educación, manufactura, y las industrias de servicios legales.
En todos los casos, el malware elegido para los ataques de Codoso era una nueva variante de la familia Derusbi, también utilizado por otros grupos de ciber-espionaje chino.
El grupo, conocido como c0d0s0, o simplemente como Codoso, no parecen tener una dirección clara y el propósito de esta campaña más reciente y parece estar cosechando información sobre los usuarios de Internet al azar, probablemente la construcción de una base de datos de posibles peones para futuros ataques.
Al igual que antes, el grupo está empleando algunos de los métodos de ataque más sofisticados visto todo, desplegando malware a través de sitios web comprometidos pero legítimos, a través de técnicas de abrevadero.
También hubo casos en que se utilizaron los correos electrónicos de phishing de lanza contra objetivos en los sectores de telecomunicaciones, alta tecnología, educación, manufactura, y las industrias de servicios legales.
En todos los casos, el malware elegido para los ataques de Codoso era una nueva variante de la familia Derusbi, también utilizado por otros grupos de ciber-espionaje chino.
Este malware funciona mediante el uso de técnicas de DLL de carga lateral para inyectar contenido malicioso en aplicaciones legítimas. Esto le permite evitar algunas herramientas de seguridad y modificar las claves del registro para obtener la persistencia de arranque.Grupo parece estar interesado en la recogida de datos sobre los usuarios de Internet al azar
Una vez en acción, el malware recopilará datos sobre los objetivos y enviarla a un servidor C & C remoto. Palo Alto detectó tres servidores utilizados en la más reciente ola de ataques Codoso, todos con conexiones entre ellos y registrada en Hong Kong.
El grupo está recopilando datos sobre los usuarios, como su dirección IP, su dirección MAC, nombre de usuario, nombre de host, los detalles de la CPU, y la cadena de agente de usuario de Internet Explorer.
Investigadores de Palo Alto sospechan que esto puede ser la etapa incipiente de un ataque más peligroso para venir.
"Las tácticas, técnicas y procedimientos (TTP) utilizados por C0d0so0 parecen ser más sofisticado que muchos otros grupos adversarios con múltiples capas de ofuscación en uso, así como víctima específica focalización en lo que parece ser un intento de crear un área de ensayo para el ataque adicional ", dijeron los investigadores de Palo Alto Josh Grünzweig y Bryan Lee sobre el grupo. Ahora tendremos que esperar y ver lo que el grupo es realmente después de esta ocasión.
No comments