Los expertos de Kaspersky ICS CERT han descubierto una campaña de ciberataque dirigida a organizaciones industriales en la región Asia- Pacífico (APAC). La campaña estuvo dirigida a agencias gubernamentales y organizaciones de la industria pesada en varios países de la región Asia Pacífico (APAC), incluidos Taiwán (China), Malasia, China, Japón, Tailandia, Corea del Sur, Singapur, Filipinas y Vietnam.
Los piratas informáticos utilizan archivos comprimidos que contienen código malicioso, disfrazados de documentos relacionados con impuestos, para propagarse a través de campañas de phishing en correos electrónicos y aplicaciones de mensajería como WeChat y Telegram. Una vez instalado en el sistema el complejo proceso de instalación de malware multicapa, los ciberdelincuentes procederán a instalar una puerta trasera llamada FatalRAT.
Si bien la campaña comparte algunas similitudes con ataques anteriores que utilizaron malware de acceso remoto (RAT) de código abierto como Gh0st RAT, SimayRAT, Zegost y FatalRAT, los expertos han notado cambios significativos en las tácticas, técnicas y métodos de operación, todos los cuales han sido adaptados para atacar a organizaciones y agencias de habla china.
Kaspersky denominó la campaña SalmonSlalom para describir cómo los cibercriminales evadieron hábilmente las defensas de la red con tácticas sofisticadas y métodos en constante cambio, de forma similar a un salmón que nada a través de un viaje rápido y arduo que requiere resistencia e ingenio para superar obstáculos.
Para proteger de forma proactiva a las organizaciones industriales pesadas de esta campaña de ataques, Kaspersky recomienda las siguientes medidas:
- Siempre habilite y requiera la autenticación de dos factores (2FA) al iniciar sesión en cuentas administrativas e interfaces web de soluciones de seguridad.
- Instalar las últimas versiones de las soluciones de seguridad centralizadas en todo el sistema y actualizar periódicamente las bases de datos antivirus y los módulos del programa.
- Actualizar la información sobre las últimas amenazas (por ejemplo, de Kaspersky Security Network) para grupos de sistemas que no tienen restringido por ley el uso de servicios de seguridad en la nube.
- Implementar un sistema de monitoreo de seguridad (SIEM) como Kaspersky Unified Monitoring and Analysis Platform…
Los ciberdelincuentes utilizan técnicas relativamente sencillas para lograr sus objetivos, incluso en entornos de tecnología operativa (TO). Esta campaña es una advertencia para las organizaciones de la industria pesada en la región APAC sobre la capacidad de los actores maliciosos para penetrar remotamente los sistemas TO. Las organizaciones deben concienciar sobre estas amenazas, reforzar sus defensas y responder proactivamente para proteger sus activos y datos de los ciberataques, afirmó Evgeny Goncharov, director de Kaspersky ICS CERT.
Kommentar (0)