Ciberseguridad 360 | Los piratas informáticos utilizan las unidades USB para propagar el malware en un ataque continuo

Chinese Cyberspies Conduct Espionage Using USB Devices That Spread Malware

Actualmente, los piratas inform�ticos tienen como objetivo entidades p�blicas y privadas del sudeste asi�tico, la regi�n de Asia-Pac�fico, Europa y Estados Unidos, con especial atenci�n a Filipinas.

Seg�n una publicaci�n reciente de la empresa de ciberseguridad Mandiant, se est�n utilizando unidades USB para hackear objetivos en el sudeste asi�tico. El actor de la amenaza que est� detr�s de esta actividad, denominado UNC4191, se dirige a entidades p�blicas y privadas del sudeste asi�tico, Asia-Pac�fico, Europa y Estados Unidos, con especial atenci�n a Filipinas.

Esta nueva campa�a comenz� ya en septiembre de 2021, seg�n el informe de Mandiant. Los investigadores eval�an que esta operaci�n se lleva a cabo como una operaci�n de ciberespionaje relacionada con los intereses pol�ticos y comerciales de China.

Mandiant, propiedad de Google, afirma que sus observaciones sugieren que Filipinas es el principal objetivo de esta operaci�n, debido al n�mero de sistemas afectados ubicados en el pa�s. Tambi�n a�adieron que, incluso cuando las organizaciones atacadas ten�an su sede en otros lugares, los sistemas espec�ficos atacados se encontraban f�sicamente en Filipinas.

Tras la infecci�n inicial a trav�s de unidades de bus serie universal, los hackers desplegaron binarios firmados leg�timamente mientras cargaban lateralmente el malware. Las familias de malware utilizadas en el ciberespionaje han sido identificadas por Mandiant como Mistcloak Launcher, Darkdew Dropper y Bluehaze Launcher.

Mandiant divide el ciclo global de infecci�n de la campa�a UNC4191 en tres fases distintas.

Mistcloak es el primer malware de carga lateral porque la ejecuci�n de una versi�n de la aplicaci�n USB Network Gate se activa en cuanto se conecta un USB infectado a la m�quina.

Esta pieza de malware carga un archivo INI que contiene Darkdew, que est� dise�ado para lograr la persistencia e infectar las unidades USB cuando est�n conectadas al sistema.

Bluehaze, que se ejecuta en la tercera fase de la cadena de infecci�n, fue dise�ado para ejecutar un ejecutable NCAT renombrado, que crea un shell inverso a un servidor de comando y control (C&C) codificado.

Fuente: hackread??