Descripción
El grupo de ciberdelincuentes llamado “APT41” o también conocido como “Barium”, “Winnti”, “Wicked Panda” o “Wicked Spider” ha dirigido recientemente una campaña de ataques que intentan comprometer tecnologías y aplicaciones Cisco, Citrix y Zoho, en más de 75 organizaciones de los países de Estados Unidos, Australia, Brasil, Chile, Hong Kong, India, Indonesia, Japón, Malasia, Pakistán, Singapur, Corea del Sur, Taiwán, Tailandia y Vietnam.
Este grupo de ciberdelincuentes, financiado por el gobierno de China es buscado por las autoridades de EE.UU. De acuerdo con las investigaciones se sabe que APT41 está conformado por siete integrantes, de los cuales dos han sido detenidos en Malasia y los cinco restantes tienen su base de operación en China.
En los dispositivos Citrix NetScaler/ADC, APT41 aprovecha la vulnerabilidad CVE-2019-19781 (CVSS v3.1: 9.8 [Crítico]), la cual permite a un atacante no autenticado ejecutar código arbitrario en el dispositivo afectado. Por otro lado, en “Zoho ManageEngine Desktop Central”, APT41 aprovecha la vulnerabilidad CVE-2020-10189 (CVSS v3.1: 9.8 [Crítico]), que permite la ejecución remota de código en instalaciones afectadas para obtener privilegios de sistema. Es importante mencionar que hasta el momento no se sabe con certeza que falla de seguridad aprovecha APT41 en los routers de Cisco.
Además, los investigadores consideran que APT41 está conformado por dos grupos llamados “Grayfly” y “Blackfly”. Grayfly es conocido por utilizar en sus ataques familias de programas maliciosos como Barlaiy/Poisonplug y Crosswalk/ProxIP con fines de espionaje contra sectores de telecomunicaciones, finanzas, salud, hotelería, salud, entre otros. Por otro lado, el grupo Blackfly utiliza los programas maliciosos PlugX/Fast, Winnti/Pasteboy y Shadowpad para ataques en industria de videojuegos de computadora. A pesar de lo anterior, ambos grupos son relacionados debido a que personajes de estos trabajaron para la misma empresa y han realizado ataques contra las mismas organizaciones de videojuegos.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas
- Dispositivos Citrix NetScaler/ADC
- Routers Cisco
- Software Zoho ManageEngine Desktop Central
Indicadores de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- SHA-256:
- SHA-256:
- 9436d1602817a27eabeeec37aeea23
1d1c51374967fab88111aec6f69fd9 1266 - 09f43c6da5bd098b843782e60aa4bb
3272d8d980ca518e2198a51935442a eb40 - 723f149e48dcb0d56634a0777c10e2
2544cd7fa20fb6ec8d18603d7f2853 de13 - 6e4bc3236f579646a8ddfcaa1705b1
fee51c54e4b7b5df73471ffe07c25b 67ce - 7dffb681cc182f497129f54e612758
9f654ca46d7cba4ba71080c853454c 27b5 - 76bcda2ebfc327af2654b33e66860e
0300e69e6c573a1f3b61db68826e6c 2558 - 8e57ac0c473975e2c057fe3d540a42
c56c943bfd429fff084fac177f3a22 b947 - 50749284ea13d19eb7bcbf97c67fdc
b711457a6ff2df1f71ebc66256787e 164c - fc052b4ed84a45a1b0bcad8b5ffa18
a5f57d753f0570ac627612b145a7cf 7207 - b3547b6378168eb22e72cf1125c0f6
8c8159a001a7737ea3bb257fe1bc6d 90c8 - 561294e08cadd3b03da9eec271bd0b
f4d20a6509bed80f40f483bc7e17ca a678 - bd739804e7a6e43a4338495603d96e
230c48e020435c334354bb6676b5b
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
- Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
Medidas de erradicación
- Aplicar las actualizaciones liberadas por los fabricantes a los dispositivos que intenta aprovechar APT41.
Referencias