¿A salvo en LinkedIn? Piensa de nuevo

 

Investigadores de ESET descubrieron una operación, con un posible vínculo al conocido grupo Lazarus, que utilizó spearphishing poco convencional y malware adaptado y multinivel contra empresas aeroespaciales y militares. Investigadores de ESET descubrieron ataques altamente dirigidos y notables por el uso de spearphising a través de LinkedIn, que utilizan trucos efectivos para mantenerse fuera del radar y con el objetivo aparente de obtener una ganancia financiera, adicional al espionaje.

 

Los ataques, que fueron nombrados por los investigadores de ESET como Operation In(ter)ception, tomando como base un malware relacionado llamado “Inception.dll”, presentaron actividad entre septiembre y diciembre del 2019.

 

Los ataques revisados por los investigadores de ESET iniciaron con un mensaje a través de LinkedIn. “El mensaje era una oferta de trabajo bastante creíble, aparentemente de una reconocida compañía de un sector relevante. Por supuesto, el perfil de LinkedIn era falso, y los archivos enviados durante la comunicación establecida fueron maliciosos.” comentó Dominik Breitenbacher, el investigador de malware de ESET que analizó el malware y lideró la investigación.

 

Los archivos fueron enviados directamente a la persona vía mensaje de LinkedIn o por correo electrónico y contenían un link a OneDrive. Como última opción, los atacantes crearon cuentas de correo que correspondían con sus personalidades falsas en LinkedIn.

 

Una vez que el receptor abría el archivo, un aparentemente inocuo documento PDF se desplegaba con la información del salario relacionado a la oferta falsa de trabajo. Mientras tanto, el malware se anidaba de manera silenciosa a la computadora de la víctima. De esta manera, los atacantes establecían un soporte inicial y alcanzaban una persistencia sólida en el sistema.

 

Después, los atacantes realizaban una serie de pasos que los investigadores de ESET describen en su documento titulado “Operación In(ter)ception: ataques dirigidos contra compañías aeroespaciales y militares europeas”. Entre las herramientas que los atacantes utilizaban se encontraban un malware adaptado y multifase que frecuentemente venía disfrazado de software legítimo, así como versiones modificadas de herramientas de software de código abierto. Además, hacían uso de tácticas conocidas como “living off the land”: con las que corrompían las características preinstaladas de Windows para realizar diversas operaciones maliciosas.

 

Los ataques que investigamos mostraron todas las señales de espionaje, con muchas referencias que sugieren un posible vínculo con el conocido grupo Lazarus. Sin embargo, ni el análisis de malware ni la investigación permitieron tener certeza sobre cuáles eran los archivos que los atacantes buscaban encontrar”, comenta Breitenbacher.

 

Adicional al espionaje, los investigadores de ESET encontraron evidencia que demuestra que los atacantes intentaron usar las cuentas comprometidas para extraer dinero de otras compañías.

 

Entre los correos de las víctimas, los atacantes encontraron comunicación entre la víctima y un cliente sobre una factura no resuelta. Ellos dieron seguimiento a la conversación y exhortaron al cliente que pagara la factura – por supuesto, a una cuenta de banco que les pertenecía. Afortunadamente, el cliente de la compañía a la que pertenecía la víctima considero esto sospechoso y contactó a la víctima para solicitar su apoyo, frustrando el intento de ataque.

 

“Este intento de monetizar el acceso a la red de contactos de la víctima debe servir como una razón más para establecer defensas mucho más severas ante las intrusiones y para proveer un entrenamiento sobre ciberseguridad a los empleados de cualquier compañía. Esta educación podría ayudar a los empleados a reconocer técnicas de ingeniería menos conocidas, como la que utilizaron para hacer la Operación In(ter)ception”, concluye Breitenbacher.

 

La firma también anunció la versión 1.4 de ESET Enterprise Inspector (EEI). Una herramienta sofisticada de detección y respuesta del Endpoint (EDR) que monitorea y evalúa la actividad sospechosa que ocurre en la red en tiempo real y permite a los administradores de seguridad de IT tomar medidas inmediatas cuando y donde sea necesario.

 

Las empresas enfrentan desafíos paralelos: por un lado, la necesidad de herramientas de seguridad que puedan integrarse sin problemas en redes cada vez más complejas y diversas e infraestructura crítica; y por otro lado, la competencia de actores maliciosos que aumenta rápidamente. Para abordar esto de manera integral, la última versión de EEI ahora incluye soporte para los sistemas operativos macOS y Windows, y presenta una API pública que permite el acceso y la exportación de detecciones, ideal para organizaciones que buscan integrar EDR con herramientas existentes. Otros valores agregados incluyen la respuesta remota y la investigación con la nueva capacidad PowerShell de EEI, lo que permite al administrador inspeccionar remotamente una máquina sin interrumpir el flujo de trabajo del usuario. Además, toda la plataforma ahora está protegida mediante doble factor de autenticación al iniciar sesión.

 

Frente a los escenarios complejos de negocios y amenazas, las organizaciones también requieren versatilidad: productos que se pueden configurar rápidamente para satisfacer una diversidad de necesidades. Para acercar aún más respuesta a estos requisitos de parte del usuario, EEI agrega características adicionales que incluyen la clasificación de objetos, estas etiquetas permiten a los administradores identificar y priorizar la gravedad de los incidentes, así como el aislamiento de la red de Endpoint. Juntos, por sus capacidades poderosas que fueron agregadas,  la búsqueda de amenazas, detección de incidentes y remediación de EEI incrementó.

 

Aun cuando no todas las empresas cuentan con un equipo o Centro de Operaciones de Seguridad (SOC), las compañías pueden beneficiarse de muchas de las características de EEI. Esta solución hace referencia a las detecciones del Framework MITRE, donde los administradores pueden encontrar información completa sobre las alertas más complejas. Los administradores pueden ahorrar tiempo creando exclusiones que automáticamente activen las alarmas, reduciendo gran parte del trabajo manual en la investigación de detecciones causadas por falsos positivos, por ejemplo, por binarios personalizados de su entorno.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *