GoldenJackal, grupo malicioso que espía a gobiernos

GoldenJackal, grupo malicioso que espía a gobiernos

En estos tiempos de grandes avances informáticos, de inteligencia artificial e internet de las cosas, con el mundo dividido en grandes bloques de intereses contrapuestos, (por un lado, Rusia y parece cercana, China; por otro, Estados Unidos y Europa), cuando en algún punto del planeta se producen delitos cibernéticos las sospechas se disparan hacia uno u otro lado.

Ocurrió con los globos chinos en Estados Unidos, por ejemplo, aunque no parece que se haya podido comprobar el espionaje

Ahora ha surgido un nuevo grupo malicioso, llamado GoldenJackal.

Su objetivo: gobiernos y entidades diplomáticas en la región de Oriente Medio y el sur de Asia

GoldenJackal es un grupo activo desde 2019 que habitualmente se centra en entidades diplomáticas y gobiernos de Oriente Medio y Sur de Asia.

Pese a que comenzaron sus actividades hace años, es un grupo desconocido y por lo que sabemos, no han sido públicamente descritos.

Según Kaspersky, es un adversario capaz y sigiloso.

Su centro de actividad se centra en Afganistán, Azerbaiyán, Irán, Irak, Pakistán y Turquía, infectando a las víctimas con malware personalizado que roba datos, y se propaga por medio de unidades extraíbles y realiza vigilancia. Esta forma de actuar sugiere que su motivación es el espionaje

Modus operandi: instalador independiente de Skype legítimo para empresas.

Según los datos disponibles, los ciberdelincuentes emplearon documentos de word infectados y archivos de instalación de skype falsos. Según declara Giampalo Dedola, analista sénior de GReAT de Kaspersky «hay que vigilar cualquier posible ataque que provenga de este actor y confíamos en que nuestro análisis ayude a prevenir las acciones de GoldenJackal»

El archivo de skype era un ejecutable con un peso de 400 MB con 2 infecciones: el troyano Jackal Control y un instalador legítimo de Skype para empresas

Otra forma de ataque era un documento de plantillas que se apoyaba en la vulnerabilidad crítica Follina

JackalControl, como su nombre lo indica, permite a los atacantes controlar la máquina de forma remota, ejecutar comandos arbitrarios, así como cargar y descargar desde y hacia el sistema.

La firma de seguridad empresarial Proofpoint dijo que bloqueó los intentos de explotar la falla de ejecución remota de código, que se rastrea como CVE-2022-30190 (puntaje CVSS: 7.8). Se enviaron a los objetivos no menos de 1000 mensajes de phishing que contenían un documento de señuelo.

«Esta campaña se hizo pasar por un aumento de salario y utilizó un RTF con la carga útil de explotación descargada de 45.76.53[.]253», dijo la compañía en una serie de tuits

Las Amenazas Avanzadas Persistentes (APT)

Una amenaza persistente avanzada (APT) es un término amplio que se usa para describir una campaña de ataque en la que un intruso, o un equipo de intrusos, establece una presencia ilícita a largo plazo en una red para extraer datos altamente confidenciales.

Los objetivos de estos ataques, que se eligen e investigan con mucho cuidado, suelen incluir grandes empresas o redes gubernamentales. Las consecuencias de tales intrusiones son amplias e incluyen:

  • Robo de propiedad intelectual (p. ej., secretos comerciales o patentes)
  • Información confidencial comprometida (p. ej., datos privados de empleados y usuarios)
  • El sabotaje de infraestructuras organizativas críticas (p. ej., eliminación de bases de datos)
  • Adquisiciones totales del sitio

Ejecutar un ataque APT requiere más recursos que un ataque de aplicación web estándar. Los perpetradores suelen ser equipos de ciberdelincuentes experimentados que cuentan con un importante respaldo financiero. Algunos ataques APT están financiados por el gobierno y se utilizan como armas de guerra cibernética.

Recomendaciones de seguridad de Karspersky

Esta entidad ofrece 5 consejos para mantenerse a salvo del malware

  1. Que el sistema tenga la última información de inteligencia de amenazas. Por ejemplo, hay un recopilatorio de los ataques cibernéticos de los últimos 20 años en Kaspersky Threat Intelligence
  2. Formación a los profesionales para que puedan hace frente a las amenazas con Kaspersky Online Training
  3. Utilización de soluciones EDR a nivel de endpoint de los incidentes que se detecten, analicen y se solucionen
  1. Como numerosos ataques empiezan con phishing y otras técnicas de ingeniería social, hay que concienciar a los equipos de seguridad informática a través de herramientas como Kaspersky Automated SEcurity Awareness plataform
  2. Actualización del software de forma oportuno y evitar sitios web sospechosos

Con estos nuevos ataques y malwares, tienes que sentirte protegido a nivel empresarial. Te aconsejamos que cuentes con una empresa profesional como Aratecnia
Estamos especializados en servicios IT a empresas y profesionales. Cubrimos todo el espectro de servicios informáticos que pueda requerir cualquier compañía, independientemente de su tamaño o actividad. Te protegemos