Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

El antimalware ICEFOG APT ha sido redescubierto en una nueva ola de ataques

El malware desarrollado por piratas informáticos patrocinados por el estado chino, que se pensaba que había desaparecido, se ha detectado recientemente en nuevos ataques, en una forma actualizada y más peligrosa.

Descubierto por el investigador principal de FireEye, Chi-en (Ashley) Shen, el malware se llama ICEFOG (también conocido como Fucobha).

Originalmente fue utilizado por una APT china (amenaza persistente avanzada, un término técnico para las unidades de piratería patrocinadas por el estado), también llamada ICEFOG, cuyas operaciones se detallaron por primera vez en un informe de Kaspersky de septiembre de 2013.

Tras la publicación de dicho informe, cesaron las actividades del grupo ICEFOG y, del mismo modo, cesaron las observaciones de su malware homónimo.

Se han descubierto nuevas versiones de ICEFOG

Pero en una presentación en una conferencia de seguridad cibernética en Polonia esta semana, Shen dijo que había descubierto versiones nuevas y actualizadas del malware ICEFOG supuestamente letal.

Las dos cepas más importantes fueron ICEFOG-P e ICEFOG-M, cuyo uso se observó en ataques desde 2014 y 2018, respectivamente.

Imagen: Shen, FireEye Imagen: Shen, FireEye Imagen: Shen, FireEye Imagen: Shen, FireEye

Ambas cepas de ICEFOG fueron superiores al malware ICEFOG original, observado en campañas de piratería a principios de la década de 2010, lo que sugiere que se realizaron más desarrollos para fortalecer sus capacidades.

Además, Shen también encontró una versión nunca antes vista del malware ICEFOG para Mac.

Imagen: Shen, ojo de fuego

ICEFOG ahora es compartido por varias APT chinas

Pero estas nuevas variantes del malware ICEFOG no se usaron en campañas que pudieran asociarse con el grupo ICEFOG original. En cambio, se encontraron en una gran cantidad de campañas de piratería orquestadas por varios grupos.

«Las operaciones entre 2011 y 2013 fueron bastante consistentes, lo que sugiere un uso grupal y exclusivo de malware», dijo Shen a Krypton Solid en un correo electrónico esta semana.

«La nueva versión aparentemente fue utilizada por varios grupos después de la campaña de 2013.

«Pivoté entre la infraestructura de la campaña de 2013 y las nuevas campañas posteriores a 2014, y no puedo sugerir una fuerte conexión entre ellas», agregó.

Parece que ICEFOG evolucionó de una muestra de malware que fue utilizada exclusivamente por un grupo de piratería chino a una herramienta ahora compartida entre varias APT diferentes, cada una con su propia agenda, similar a cómo el grupo Winnti también se disolvió con el malware Winnti. dividido entre diferentes APT chinos en el pasado. Por supuesto, esta no es una teoría nueva, ya que los expertos en ciberseguridad han pensado previamente que muchas APT chinas pueden tener una cadena de suministro compartida.

«No está claro cómo se compartieron las muestras de ICEFOG, pero hemos visto herramientas compartidas entre otros grupos APT de China-nexus antes», dijo Shen.

«También se compartió una plantilla de documento operativo entre varios grupos», agregó el investigador. «Además, otro malware como SOGU es una herramienta común».

Shen dijo que notó variantes del malware ICEFOG en ataques dirigidos a:

– una empresa agrícola sin nombre en Europa en 2015
– organizaciones gubernamentales, de medios y financieras en Rusia y Mongolia en 2015 (campaña TOPNEWS)
– el gobierno de varios estados exsoviéticos en 2015 (Roaming Tiger)
– Funcionarios kazajos en 2016 (campaña APPER)
– proveedor de fuentes de agua, bancos y entidades gubernamentales en Turquía, India, Kazajstán, Uzbekistán y Tayikistán en 2018 (campaña WATERFIGHT)
– una entidad desconocida en Filipinas en 2018 (campaña PHKIGHT)
– organizaciones en Turquía y Kazajstán en 2018 y 2019 (campaña SKYLINE)

Imagen: Shen, FireEye Imagen: Shen, FireEye

ICEFOG utilizado principalmente para espionaje cibernético

«Simplemente vino a nuestro conocimiento entonces [used] por espionaje político y recopilación de inteligencia «, dijo Shen a Krypton Solid.

«Algunas campañas también se dirigieron a las telecomunicaciones, la energía, los medios, el transporte y los sectores financieros sospechosos, probablemente a la propiedad intelectual. Sin embargo, creemos que estos son una minoría de casos”.

En cuanto a por qué no se informaron nuevas observaciones de ICEFOG, Shen también tiene una teoría, que sugiere que no se detectó malware porque rara vez se usaba.

«La variante ICEFOG-P utilizada entre 2014 y 2018 no es muy avanzada», nos dijo Shen. «El código es bastante simple y la mayoría de las muestras ni siquiera estaban empaquetadas.

“La razón por la que no se siguieron las campañas probablemente se deba al menor número de muestreo entre el cuarto trimestre de 2013 y 2017, especialmente en comparación con la campaña anterior a 2013.

«En un caso que noté en 2015, el actor parecía usar ICEFOG como una herramienta posterior a la explotación, que se implementó después de que la víctima se vio comprometida. Como resultado, un investigador debe investigar el incidente específico para encontrar la conexión ICEFOG. .

«La variante ICEFOG-M, que apareció en 2019, usó una carga útil sin archivos, lo que hizo que la campaña fuera más difícil de rastrear», dijo Shen.

La conclusión es que el malware ICEFOG llegó para quedarse. Después de recibir tantas actualizaciones en los últimos años y demostrar que pasó desapercibido, es probable que los grupos de ciberespionaje chinos lo utilicen en un futuro próximo.

Shen presentó sus hallazgos en la conferencia de seguridad CONFIDENCE en Cracovia, Polonia, a principios de esta semana. una copia de ella diapositivas de presentación está disponible en SpeakerDeck. Indicadores de compromiso (IOC) también están disponibles.

Cobertura de malware y ciberdelincuencia:

Sigue a tu hacker antes de que te piratee

¿Te preocupa que haya algo ahí? El proveedor de seguridad McAfee ha lanzado un portal de monitoreo de seguridad para ayudar a detectar piratas informáticos. El sitio basado en suscripción, llamado HackerWatch.org, está diseñado para

La accesibilidad podría dar un paso atrás

productor de noticias Internet no tiene fronteras, no hay tecnología de la información que permita que sea accesible para todas las personas. En un momento en que las barreras monetarias y de viaje siguen cayendo

Skype reprendido por anuncio de videollamada

Skype tenía un anuncio de televisión prohibido por la Autoridad de Normas de Publicidad, que descubrió que el anuncio tergiversaba la calidad de sus videollamadas. El anuncio mostraba a un nuevo papá haciendo una videollamada

Operador Suave | Krypton Solid

Operador suave Por Cisco Systems, especialmente para CNETAsia 14 de junio de 2004 Las comunicaciones de datos inalámbricas ya no son un lujo, sino una necesidad en la gestión del transporte. Han surgido nuevas tecnologías

¿Serán tabletas Android Cialis?

No escuchas muchos chistes sobre Cialis, ¿verdad? Late Night TV, sin embargo, sigue lleno de bromas sobre Viagra y es un elemento básico de la comedia física en las películas B, incluso 12 años después

Se ha lanzado Red Hat Ansible 2.3 DevOps

La última versión de Red Hat Ansible está diseñada para mejorar la potencia de red de esta herramienta DevOps. Como la mayoría de los programas de DevOps, sombrero rojosu Ansible no requiere que el personal

Michael Dell: ¿Póster del CEO anti-crapware?

El CEO de Dell, Michael Dell, hablando en la ciudad de Nueva York en el lanzamiento de Vostro, sonó como un hombre casi listo para deshacerse del mundo del software de prueba, al que llamamos

La fuente abierta del Wind River se mueve

El río del viento continuó su movimiento hacia el código abierto, unirse a Eclipse e incluso contribuir a SourceForge. Creo que esta es una gran noticia, y no solo porque otro software propietario está metiendo

SK Telecom prueba un barco autónomo usando 5G

SK Telecom y Samsung Heavy Industries han desarrollado una plataforma de navegación independiente basada en 5G que permitirá a los barcos viajar a sus propios destinos. Los dos utilizaron un barco de prueba de 3,3

Cómics de la semana # 341

Cómics de la semana # 341 Cada semana presentamos un conjunto de cómics creados exclusivamente para WDD. El contenido gira en torno al diseño web, los blogs y las situaciones divertidas que encontramos en nuestra

Qué hay de nuevo: Google; Facebook; Retirada de baterías HP

Aquí están los titulares notables de hoy. Puede obtener noticias para saber ustedaecorreo alert y RSS diario. Para actualizaciones continuas, consulte BNET Cobertura de tecnología web. Ryan Naraine: manzana elimina los defectos de CanSecWest Pwn2Own

Continúa la saga de marketing de Windows de Microsoft

Microsoft está tratando de mejorar las ventas de Windows con su campaña publicitaria «Soy una PC» y ha recibido una extraña ayuda. Microsoft dejó caer sus dos comerciales francamente confusos, con los comediantes Jerry Seinfeld

3 grandes usos B2B de los códigos QR

Lo he dicho antes, pero hay que repetirlo: los códigos QR llegaron para quedarse. Si bien la mayoría de las empresas normalmente las ven como una herramienta B2C, también pueden ser muy útiles para las

Samsung Galaxy S6: cómo fue diseñado

El Samsung Galaxy S6 edge toma sus señales de diseño del Note 4, pero aún no está claro cuán útil será esa pequeña pieza de pantalla con el tiempo. Larry Dignan El lanzamiento del Galaxy

Android acumula ventas globales de BlackBerry

La demanda de teléfonos BlackBerry fuera de Europa y Estados Unidos está disminuyendo, lo que amenaza algunos de los pocos mercados de crecimiento restantes para el fabricante de teléfonos. Las ventas de teléfonos en los

Video: ¿Volarán las redes sociales móviles?

En la Cumbre AlwaysOn de la Universidad de Stanford, el moderador Adam Zawel de INmobile.org analiza las redes sociales móviles. Pregunta al panel si la tendencia tardará en progresar en Estados Unidos en comparación con

Shuzak, una red social para nerds

Shuzak es una nueva red social vertical que, en palabras de su fundador Jawad Shuaib, pretende «hacer por los nerds lo que MySpace ha hecho por los amigos». El sitio tiene características de red estándar,

Deja un comentario