Panda vicioso
Ha habido varias historias en los últimos meses de ciberdelincuentes que utilizan la amenaza muy real del coronavirus para propagar malware y ransomware . Estas amenazas se han propagado por todo el mundo, pero ha habido varias procedentes de China en particular. Hasta el punto de que el grupo de hackers chino patrocinado por el estado Vicious Panda ha comenzado a propagar su propio malware a través del coronavirus.
La información sobre el ataque proviene de Check Point, quien publicó una investigación que muestra que una APT china ha "armado" información legítima sobre el coronavirus para difundir su malware malicioso a las masas.
Tabla de contenido
El segundo ataque
El ataque Vicious Panda es en realidad la segunda gran campaña de malware relacionada con el coronavirus (COVID-19) que sale de China en las últimas semanas. El primero ocurrió a principios de marzo cuando el grupo vietnamita de seguridad cibernética VinCSS notó un ataque de Mustang Panda. Mustang Panda es otro grupo de piratería patrocinado por el estado chino.
Su ataque fue conocido por distribuir correos electrónicos con un archivo RAR adjunto que afirmaba contener un mensaje del primer ministro vietnamita sobre el coronavirus. En lugar de contener algún tipo de mensaje importante, el archivo RAR contenía un troyano de puerta trasera que se instalaba en las computadoras de las víctimas y las abría al grupo de hackers.
Panda vicioso ataca al gobierno mongol
El ataque de Vicious Panda fue detectado por Check Point, quien dijo que estaban vigilando al grupo, ya que estaban dirigidos a organizaciones gubernamentales de Mongolia. Al igual que el primer ataque, el grupo afirmó tener información vital sobre el coronavirus que los usuarios deberían descargar para acceder.
Check Point pudo interceptar un ataque cibernético de un "grupo APT chino en una entidad del sector público de Mongolia". El ataque aprovechó los temores del coronavirus durante la fase de ingeniería social. Contenía dos documentos. Uno de los documentos estaba relacionado con el COVID-19 y ambos afirmaban ser del Ministerio de Relaciones Exteriores de Mongolia. Los documentos venían empaquetados con una amenaza de malware única que permitía el acceso remoto a las computadoras de las víctimas.
Archivo adjunto de correo electrónico - Fuente: research.checkpoint.com
La punta del iceberg
Desafortunadamente, este último ataque no es nada nuevo y simplemente representa la punta del iceberg proverbial. Los piratas informáticos siempre han utilizado este tipo de crisis en su beneficio, por lo que no había forma de que pudieran resistirse a aprovechar COVID-19.
El último documento APT chino, según Check Point, se tituló "Acerca de la propagación de nuevas infecciones por coronavirus". Cita al Comité Nacional de Salud de China para parecer más auténtico y ser más eficaz. Si bien ha habido una serie de amenazas cibernéticas relacionadas con COVID-19, esta parece ser la primera realizada por un grupo de piratería patrocinado por el estado contra un gobierno extranjero.
Además de ser el último de una serie de ataques de piratería relacionados con el coronavirus, Check Point dice que el ataque es solo el último de una campaña en curso de piratas informáticos chinos contra otros gobiernos y organizaciones. La diferencia es que este aprovechó el coronavirus como parte del método de implementación.
El ataque se describió como "explotar el interés público en el coronavirus para la propia agenda [de China] a través de una nueva cadena de infección cibernética". Dicen que Vicious Panda se dirige a países de todo el mundo, no solo a Mongolia. Instan a todas las entidades del sector público y empresas de telecomunicaciones a estar alerta sobre posibles amenazas cibernéticas, en particular cualquier cosa que afirme ser sobre coronavirus.
El correo electrónico y los documentos afirman provenir del propio gobierno de Mongolia. Al menos uno de ellos afirmó provenir del Ministro de Relaciones Exteriores. La campaña se dirigió a otras partes del sector público mongol. El objetivo de la campaña parecía ser obtener información y capturas de pantalla de las computadoras del gobierno, editar y eliminar archivos y tomar el control remoto de esas computadoras.
¿Cómo funciona el ransomware Vicious Panda?
El archivo adjunto malicioso contiene un troyano de acceso remoto (RAT) que puede tomar el control de las computadoras. El troyano está programado para tener conexiones limitadas con el servidor de comando y control, lo que puede dificultar su detección. La estructura de la carga útil sugiere que podría incluir otros módulos cuya instalación está programada más adelante como parte de una campaña más amplia. Por lo que Check Point puede decir, el malware utilizado en el ataque es una cepa completamente única y diseñada a medida, pero exactamente cómo funciona, y lo que hace, es bastante común.
Cadenas de infección del panda vicioso - Fuente: research.checkpoint.com
Check Point desglosó otras partes de la campaña, como dónde se alojaba el centro de comando y control. Sin embargo, al final del día, este malware no es más que una campaña patrocinada por el estado. Utiliza ingeniería social para alentar a los usuarios a descargar y abrir un archivo adjunto. El archivo adjunto carga otro archivo e instala una puerta trasera en la computadora. Luego, China puede explotar esa puerta trasera para espiar objetivos gubernamentales.
Los ciberdelincuentes seguirán aprovechándose de China y el coronavirus
Si bien las señales de nivel superior no ofrecen suficiente información para identificar exactamente quién está detrás del ataque, Check Point investigó el código del malware y descubrió que era similar al código utilizado en otro malware relacionado con China. Esas campañas también estaban dirigidas a los enemigos de China.
China, el epicentro del coronavirus, está utilizando el virus para su propio beneficio en muchos métodos engañosos. Sin embargo, no es sorprendente que usen el coronavirus, ya que actualmente es la mejor herramienta de ingeniería social disponible para los actores de amenazas. Incluso los ciberdelincuentes habituales lo aprovechan en sus propias campañas.
