Soporte Técnico Internacional: +34 913 518 558 | soporte@trustcloud.tech
Login

El grupo de cibercriminales APT36 refuerza su malware con nuevas técnicas

Share This:

TrustCloud | The cybercriminal group APT36 strengthens its malware with new techniques

APT36, un grupo de conocidos hackers vinculado a Pakistán, ha desvelado recientemente una evolución sofisticada de su malware ElizaRAT. Este software malicioso, diseñado para infiltrarse en los sistemas objetivo y extraer información sensible, ha sido empleado en una serie de graves ciberataques, principalmente dirigidos a entidades indias. 

E

sta organización, con un largo historial de ataques a sus espaldas, incluyendo importantes objetivos como el Ministerio de Defensa de la India, ha demostrado ser una amenaza persistente y sofisticada. 

Las últimas versiones de ElizaRAT han sido reforzadas con tácticas avanzadas de evasión, lo que dificulta cada vez más que las soluciones de seguridad detecten y neutralicen la amenaza. Estas técnicas incluyen: 

  • Inyección de Procesos: El malware se inserta en procesos legítimos para eludir las medidas de seguridad. 
  • Capacidades de Rootkit: Oculta la presencia del malware en los sistemas infectados. 
  • Mecanismos Anti-Depuración: Impide los intentos de análisis por parte de los investigadores de seguridad. 

Además, el malware ahora tiene la capacidad de entregar una gama de payloads dañinos, incluyendo la poderosa herramienta ApoloStealer. Los payloads son componentes de los malware diseñados para ejecutar acciones específicas en los sistemas comprometidos, tales como robar información o causar daños. Por ejemplo, ApoloStealer está diseñado para exfiltrar datos sensibles como credenciales de acceso, información financiera y propiedad intelectual, lo que aumenta el impacto del ataque. 

Infraestructura C2 Flexible 

APT36 ha demostrado una notable adaptabilidad en su infraestructura de comando y control (C2), aprovechando diversas plataformas para mantener una comunicación persistente con los sistemas comprometidos. El C2 permite que los ciberdelincuentes mantener comunicación constante con las máquinas comprometidas, emitiendo órdenes, extrayendo datos o realizando otras acciones maliciosas.  

Algunos de los métodos de C2 observados incluyen: 

  • Servicios Basados en la Nube: Uso indebido de servicios legítimos en la nube, como Slack y Google Drive, para ocultar actividades maliciosas. 
  • Fronting de Dominios: Enmascaramiento del tráfico malicioso mediante su enrutamiento a través de dominios legítimos. 
  • Redes de Rápido Cambio de Direcciones IP: Cambio rápido de direcciones IP para evadir la detección. 

Al mantenerse informadas sobre el panorama de amenazas más reciente y adoptar medidas de seguridad proactivas, las organizaciones pueden protegerse mejor de los ataques de APT36 y otros actores maliciosos. Esto es crucial debido a la creciente complejidad de las técnicas empleadas, como los payloads, que son componentes del malware diseñados para ejecutar acciones específicas en los sistemas comprometidos, tales como robar información o causar daños. Por ejemplo, ApoloStealer, un payload utilizado por ElizaRAT, está diseñado para exfiltrar datos sensibles como credenciales de acceso, información financiera y propiedad intelectual, lo que aumenta el impacto del ataque. 

Medidas de seguridad claves 

  1. Actualizaciones Regulares de Software: Mantener todos los sistemas y software actualizados con los últimos parches de seguridad es esencial para protegerse contra vulnerabilidades conocidas que los atacantes pueden explotar. Los parches de seguridad corrigen errores de software que pueden ser aprovechados para insertar malware, incluido el malware de tipo «zero-day». Este programa es un software malicioso que aprovecha vulnerabilidades de seguridad en un sistema que aún no han sido descubiertas por los desarrolladores del software o los expertos en seguridad. Se llama «zero-day» porque los atacantes tienen cero días para explotarlo antes de que se publique un parche o solución para la vulnerabilidad. 
  2. Políticas de Autenticación Fuertes: En un mundo cada vez más enfocado en la seguridad sin contraseñas, las políticas de contraseñas fuertes siguen siendo un paso importante hacia la protección de las cuentas. Sin embargo, el futuro de la ciberseguridad va más allá de contraseñas robustas y únicas. Aunque las contraseñas complejas —que combinan letras, números y caracteres especiales— son esenciales para proteger las cuentas de ataques de fuerza bruta, la transición a métodos más seguros como la autenticación multifactor (MFA) o la identidad biométrica está redefiniendo el concepto de protección digital. Estamos moviéndonos hacia una era en la que las contraseñas pronto serán complementadas por tecnologías más avanzadas que ofrecen una capa extra de seguridad sin depender exclusivamente de combinaciones alfanuméricas. 
  3. Capacitación en Conciencia de Seguridad para Empleados: Los empleados deben ser educados sobre tácticas de ingeniería social, como el phishing, en el que los atacantes intentan engañar a las personas para que divulguen información sensible. Además, deben conocer las mejores prácticas en ciberseguridad, como verificar la autenticidad de los correos electrónicos y evitar hacer clic en enlaces sospechosos. 
  4. Segmentación de Redes: Aislar sistemas y redes críticas ayuda a contener los daños en caso de una brecha de seguridad. Esto significa que, si un atacante compromete una parte de la red, no podrá acceder fácilmente a otras áreas más sensibles de la organización. Además, se deben implementar controles estrictos entre las diferentes zonas de la red para limitar el movimiento lateral de los atacantes. 
  5. Soluciones Avanzadas de Protección contra Amenazas: Las organizaciones deben contar con soluciones de seguridad avanzadas capaces de detectar y bloquear ataques sofisticados. Estas soluciones incluyen herramientas diseñadas para monitorear continuamente los dispositivos finales (endpoints), como computadoras, servidores, teléfonos móviles y otros dispositivos conectados a una red, así como sistemas de prevención de intrusiones (IPS) y soluciones de inteligencia de amenazas que pueden identificar comportamientos anómalos y prevenir ataques en tiempo real. 

Implementando estas medidas, las organizaciones pueden mejorar significativamente su capacidad de defensa contra las tácticas avanzadas empleadas por grupos como APT36 y otras amenazas cibernéticas. 

Contacte con un experto de TrustCloud y conozca nuestras soluciones a prueba de hackers 

Volver arriba

Soporte Técnico Internacional: +34 913 518 558 |  soporte@trustcloud.tech