Recientemente han estado escalando las tensiones entre China y Taiwán por la presencia militar de China y acciones de provocación en la región. China ha reclamado por mucho tiempo que Taiwán es parte de su territorio y ha puesto presión a la isla para que se reunifique con el país, incluso se convirtió en el principal actor de amenazas en contra de Taiwán, a finales del 2022.
Por otra parte, la isla-estado ha mantenido su independencia y ha fortalecido sus capacidades militares en respuesta a las agresiones de China.
En los últimos meses, el incremento en las tensiones entre Taiwán y China ha contribuido en el incremento en los ciberataques contra Taiwán. Nuestros investigadores identificaron un aumento en ataques contra varias industrias de la región, con la meta de entregar malware para robar información sensible.
Trellix observó un aumento en correos electrónicos maliciosos hacia Taiwán entre el 7 y 10 de abril. El número de emails maliciosos durante este tiempo se incrementó más de cuatro veces de la media usual. Aunque varias industrias eran el objetivo durante el aumento, las más impactadas fueron redes/TI, manufactura y logística.
Más aún, durante la última semana de enero de 2023, nuestros investigadores observaron un incremento en emails de extorsión hacia los funcionarios del gobierno de Taiwán, con un crecimiento de 30 veces el número de correos maliciosos. Aunque no está claro si esta actividad proviene de actores respaldados por China, hay una intensidad en ataques específicamente dirigidos a Taiwán.
Emails maliciosos
Los investigadores del Centro de Investigación Avanzada de Trellix, encontraron diferentes estilos de campañas de emails maliciosos, los siguientes son un resumen sobre los ejemplos presentados:
–Ejemplo 1: El email es una notificación falsa de un pago vencido con una suplantación de identidad de una firma legal para agregar una sensación de urgencia, el correo contiene una advertencia de acción legal si no se paga el monto. El correo electrónico contiene un adjunto malicioso.
–Ejemplo 2: El correo es una notificación falsa de embarque de DHL y contiene un URL que redirecciona al usuario a una página de phishing
–Ejemplo 3: El correo es una solicitud falsa de cotización por una orden de cemento, contiene un archivo como adjunto que contiene el malware.
–Ejemplo 4: Este correo es una notificación falsa de una orden de compra que contiene un URL que redirecciona al usuario a una página de phishing.
URLs maliciosos
Las siguientes son algunas de las páginas web maliciosas que están siendo utilizadas contra organizaciones taiwanesas. Nuestros investigadores encontraron varios temas diferentes como páginas de inicio de sesión genéricas, páginas específicas de las empresas objetivo, páginas de inicio de sesión multimarcas, etcétera, usadas contra los usuarios objetivo para recolectar sus credenciales.
Malware
Tras el aumento de correos maliciosos para Taiwán, se identificó un aumento en las detecciones de PlugX, una herramienta de acceso remoto en uso desde 2012, está ligada comúnmente a grupos de amenaza chinos.
El aumento se observó a través del Sistema Avanzado de Análisis del Panorama de Amenazas (ATLAS) que muestra una visibilidad agregada de varias fuentes de telemetría enriquecidas con dato de campaña que contienen la investigación del Centro de Investigación Avanzada de Trellix (ARC).
Esto sigue las TTPs de muchos actores de amenazas que utilizan los correos de phishing como punto inicial de la infección y después despliegan herramientas más poderosas para tomar control de los sistemas para luego moverse lateralmente.
PlugX es un Troyano de Acceso Remoto (RAT) que comúnmente es empleado por varios grupos ATP chinos para actividades de ciberespionaje. Es conocido por sus capacidades sigilosas y habilidad para evadir su detección por software antivirus. PlugX intenta evadir la detección durante su instalación usando carga lateral DLL en los sistemas objetivo.
Esta técnica consiste en un programa legítimo cargando un archivo de librería de link dinámico (DLL) que se enmascara como un archivo DLL legítimo. Esto permite la ejecución de un código malicioso arbitrario que elude las medidas de seguridad que buscan los códigos maliciosos, corriendo directamente de un archivo ejecutable.
PlugX tiene un amplio rango de capacidades, incluyendo captura de presiones de teclas, capturas de pantalla y acceso y robo de archivos. Algunos de sus plug-ins incluyen enumeración de disco, claves de acceso, enumeración de recursos de red, mapeo de puerto, terminación de procesos, edición de registros, control de servicios y acceso de Shell remoto. Algunos de los actores de amenazas conocidos que usan el PlugX incluyen a Apr10, APT27, APT41, MustangPanda y RedFoxtrot. Se cree que estos grupos están financiados por el Estado y se han ligado a varias actividades de ciberespionaje.
Malware adicional
Durante el periodo analizado, se identificó también otras familias de malware apuntando a Taiwán. Las siguientes son algunas de las familias observadas por nuestros investigadores:
–Kryptik – El malware de esta familia consiste de Troyanos que usan anti emulación, anti depuración y ofuscación de código para prevenir su análisis.
–Zmutzy – Un troyano de spyware y robo de información escrito en el lenguaje .NET de Microsoft. Es usado para espiar a las víctimas recolectando credenciales y otra información de los sistemas infectados.
–Formbook – Un malware de robo de información usado para robar varios tipos de datos de sistemas infectados, incluyendo credenciales atrapadas en navegadores de red, capturas de pantalla y teclado. Puede actuar como un descargador, permitiendo ejecutar archivos maliciosos adicionales.
En conclusión, el aumento en las tensiones entre China y Taiwán, en conjunto con el incremento en el número de ataques de ciberseguridad, es una causa de preocupación para individuos, negocios y gobiernos alrededor del mundo. Es crucial para todos mantenerse vigilantes y tomar las precauciones necesarias para protegerse de brechas potenciales. Esto incluye adoptar las mejores prácticas de ciberseguridad y estar informados acerca de las últimas amenazas. Para navegar en este complejo panorama, el Centro de Investigación Avanzada (ARC) utiliza nuestros productos únicos ATLAS e Insights, para ofrecer un análisis y proyección de amenazas avanzados.
WhatsApp eSemanal 55 7360 5651
También te puede interesar:
Directores de Información luchan para obtener apoyo contra los ciberataques
MAPS robustece su portafolio de ciberseguridad con las soluciones XDR de Trellix
Trellix y Licencias OnLine impulsan a los canales en México con la iniciativa Xtend y la tecnología XDR
Ciberamenazas para 2023