Investigadores descubren una nueva operación mundial de ciberespionaje denominada Safe

Investigadores de seguridad de Trend Micro han descubierto una operación activa de ciberespionaje que hasta ahora ha comprometido computadoras pertenecientes a ministerios gubernamentales, compañías tecnológicas, medios de comunicación, académicos instituciones de investigación y organizaciones no gubernamentales de más de 100 países.

La operación, que Trend Micro ha bautizado como Segura, se dirige a posibles víctimas utilizando correos electrónicos de spear phishing con archivos adjuntos maliciosos. Los investigadores de la compañía investigaron la operación y publicaron un documento de investigación con sus hallazgos el viernes.

Se detectaron dos tácticas

La investigación descubrió dos conjuntos de servidores de comando y control utilizados para lo que parecen ser dos seguros separados. atacar campañas que tienen objetivos diferentes, pero usan el mismo malware.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Una campaña usa correos electrónicos spear phishing con contenido relacionado con el Tíbet y Mongolia. Estos correos electrónicos tienen archivos adjuntos.doc que explotan una vulnerabilidad de Microsoft Word parchada por Microsoft en abril de 2012.

Los registros de acceso recopilados de los servidores de C & C de esta campaña revelaron un total de 243 direcciones únicas IP (Protocolo de Internet) víctimas de 11 países diferentes. Sin embargo, los investigadores encontraron solo tres víctimas que todavía estaban activas en el momento de su investigación, con direcciones IP de Mongolia y Sudán del Sur.

Los servidores de C & C correspondientes a la segunda campaña de ataque registraron 11,563 direcciones IP de víctimas únicas de 116 países diferentes, pero el número real de víctimas probablemente sea mucho menor, dijeron los investigadores. En promedio, 71 víctimas se comunicaron activamente con este conjunto de servidores de C & C en un momento dado durante la investigación, dijeron.

No se han identificado los correos electrónicos de ataque utilizados en la segunda campaña de ataque, pero la campaña parece ser más grande en alcance y las víctimas más ampliamente dispersas geográficamente. Los cinco países principales por número de direcciones IP de víctimas son India, EE. UU., China, Pakistán, Filipinas y Rusia.

Malware en una misión

El malware instalado en las computadoras infectadas está diseñado principalmente para robar información, pero su funcionalidad se puede mejorar con módulos adicionales. Los investigadores encontraron componentes de complemento de propósito especial en los servidores de comando y control, así como también programas comerciales que se pueden usar para extraer contraseñas guardadas de Internet Explorer y Mozilla Firefox, así como las credenciales de Protocolo de escritorio remoto almacenadas en Windows.

"Aunque a menudo es difícil determinar el propósito y la identidad de los atacantes, determinamos que la campaña Segura está dirigida y usa malware desarrollado por un ingeniero de software profesional que puede estar conectado al cibercriminal clandestino en China". los investigadores de Trend Micro dijeron en su artículo. "Este individuo estudió en una universidad técnica prominente en el mismo país y parece tener acceso al repositorio de código fuente de una compañía de servicios de Internet".

Los operadores de los servidores C & C accedieron a ellos desde direcciones IP en varios países, pero la mayoría de China y Hong Kong, dijeron los investigadores de Trend Micro. "También vimos el uso de VPN y herramientas de proxy, incluido Tor, que contribuyó a la diversidad geográfica de las direcciones IP de los operadores".

Artículo actualizado a las 9:36 a.m. PT para reflejar que Trend Micro ha cambiado el nombre de la operación de ciberespionaje que fue el tema de la historia y el enlace a su informe de investigación.