Hackers atacan a académicos japoneses con phishing para robar datos de investigación

Publicado por: La Redacción - info@generacionyrd.com

Una campaña de phishing dirigida a académicos en Japón tiene una carga de malware que filtra contraseñas y documentos de las computadoras de las víctimas.

BlackTech, el grupo responsable del ataque, se ha dirigido a organizaciones gubernamentales y contratistas del gobierno desde hace casi 10 años. Especialistas en seguridad de la información comentaron que la organización es conocida por usar vulnerabilidades vendidas en los círculos de hackers de Black Hat y filtraciones de Hacking Team.

El grupo de ciberespionaje BlackTech, que se ha centrado en organizaciones de Asia oriental desde al menos 2010, en los últimos meses ha participado en una campaña de phishing por correo electrónico, que pretende ser del Ministerio japonés de Educación, Cultura, Deportes, Ciencia y Tecnología, conocido como MEXT. Estos correos electrónicos contienen enlaces a descargas de Dropbox que contienen malware llamado TSCookie por JPCERT que es el primer Computer Security Incident Response Team CSIRT de Japón.

TSCookie funciona como un cuentagotas que se conecta a un servidor de comando y control C & C para descargar el malware TSCookieRAT. Las variantes de TSCookie históricamente han dependido de las vulnerabilidades de anulación de derecha a izquierda RTLO, recientemente CVE-2017-0199, una vulnerabilidad en el manejo de Microsoft Office de los documentos RTF que un grupo desconocido utilizó en agosto pasado en un ataque de spear phishing. Otras variantes se basan en una vulnerabilidad de Adobe Flash desarrollada por la firma italiana “Hacking Team”, que a su vez fue hackeada. Una versión similar de TSCookie se basó en una vulnerabilidad Flash relacionada también divulgada en el volcado de datos del Hacking Team.

Según expertos en seguridad de la información, TSCookie también utiliza las características de VPN de enrutadores vulnerables para crear nuevos servidores de C & C o nuevos servidores desde los cuales propagarse. También utiliza la vulnerabilidad CVE-2017-7269 en Microsoft IIS 6.0 para crear servidores adicionales de C & C.

La carga útil TSCookieRAT es capaz de ejecutar comandos de shell arbitrarios en una computadora infectada, así como enviar información de la unidad y el sistema a los atacantes, de acuerdo al informe de los investigadores de seguridad de la información. Además, puede enviar archivos y metadatos de archivos a los atacantes, y tiene una función para recolectar y transmitir contraseñas de Internet Explorer, Edge, Chrome, Firefox y Microsoft Outlook.

Además, otra carga utilizada por BlackTech contiene un token de actualización vinculado a cuentas de Gmail específicas utilizadas por los atacantes, que a su vez están vinculadas a una cuenta de Google Drive. Los archivos robados se cargan en estas unidades de Google, donde los atacantes pueden recolectarlos.

Esta campaña de phishing utilizó una línea de asunto que se traduce como “2018 MEXT Research Program”. El correo electrónico solicita al lector que envíe información sobre los planes de investigación. Dada la naturaleza de captura de archivos del malware, se puede decir que los atacantes están intentando robar datos de investigación.

Anteriormente BlackTech ha sido identificado por expertos de seguridad de la información como creador de ataques similares, incluido “Shrouded Crossbow”, que utiliza versiones modificadas del código fuente de puerta trasera BIFROST, que según la compañía estaba a la venta por $ 10,000. Teniendo esto en cuenta, BlackTech parece estar bien financiado, pero parece no tener la capacidad independiente de descubrir vulnerabilidades para usar en ataques.