APT34 una amenaza real y concreta

 

Luis V. Sintes Martinez Analista de Seguridad - Vintegris

Luis V. Sintes Martinez Analista de Seguridad – Vintegris

Actores cibercriminales patrocinados por un Estado, con el nombre en línea de Lab Dookhtegan, han revelado detalles sobre el funcionamiento interno de un grupo de ciberespionaje conocido principalmente en la comunidad de seguridad como OilRig , APT34 y  HelixKitten, aparentemente vinculados con el gobierno iraní. 

Ahora que estos scripts son públicos, es probable que van a ser usados por los grupos de criminales cibernéticos y muchos cibercriminales iniciáticos de scripts de todo el mundo a medida que el arsenal público de herramientas gratuitas de piratería se haga cada vez más grande.

Esta liberación de código malicioso hace más complejo el trabajo de los profesionales que deben proteger el perímetro, ya que al multiplicarse las alertas, las operaciones altamente sofisticadas, pueden aprovechar cualquier brecha de seguridad, con métodos sigilosos.

Si bien las consecuencias de esto probablemente no tendrán los mismos impactos globales que el EquationGroup, las herramientas de pirateo se filtran (como la implementación del ransomware WannaCry): el lanzamiento de este código filtrado proporciona una visión interna de las herramientas, tácticas y procedimientos que se describen. utilizado por el grupo APT34.

La presencia de los WebShells indica que hay un uso intensivo de las metodologías de ataques de aplicaciones web como una especialidad del grupo «.

Las empresas y companías que ejecutan servidores Windows IIS y aplicaciones ASPX deben utilizar el código base filtrado para determinar si aparece alguna de las webshells en sus servidores.

Las empresas también deben tener en cuenta que el perímetro externo de su empresa, específicamente la aplicación web, sigue siendo un eficaz y poderoso vector de ataque.

Los WAF pueden ser evadidos, y los marcos seguros pueden hacerse vulnerables al codificar errores.

Los actores cibercriminales patrocinados por Estados suelen liberar código malicioso para aumentar el ruido en el mercado cibercriminal, y a su vez infectar a los actores recién iniciados para utilizarlos como bots para realizar ataques que los deje expuestos y demore la investigación.

 

Por Luis V. Sintes Martinez Analista de Seguridad – Vintegris