NoticiasSeguridad Informática

“DarkHotel” aumenta sus ataques usando exploits de Hacking Team

Kaspersky Lab ha descubierto que el grupo Darkhotel , un equipo de espionaje de élite descubierto por sus expertos en 2014 y famoso por la infiltración de redes Wi-Fi en hoteles de lujo con el fin de comprometer altos ejecutivos de empresas seleccionadas, han estado utilizando una vulnerabilidad de zero-day de la colección de Hacking Team, esto inmediatamente después la filtración de los archivos de estos en el mes de julio. No se tiene certeza si Darkhotel ha sido cliente de Hacking Team; lo que si es cierto que el grupo Darkhotel agarró los archivos una vez que estos se pusieron  a disposición del público.

Kaspersky Lab calcula que en los últimos años  el grupo puede haber adquirido media docena o más zero-days para Adobe Flash Player, esto al parecer, mediante una significativa inversión de dinero para así completar su arsenal. En 2015, el grupo Darkhotel amplió su alcance geográfico en todo el mundo empleado spearphishing para sus objetivos en Corea del Norte y del Sur, Rusia, Japón, Bangladesh, Tailandia, India, Mozambique y Alemania.

Investigadores de seguridad de Kaspersky Lab han registrado nuevas técnicas y actividades de Darkhotel, un actor APT conocido que ha estado activo durante casi ocho años. En los ataques de fecha 2014 y anteriores, el grupo ha robado certificados empleando métodos inusuales como comprometer la red Wi-Fi del hotel para colocar herramientas de espionaje en los sistemas de sus objetivos.

En 2015, muchas de estas técnicas y actividades se han mantenido, pero Kaspersky Lab También ha descubierto nuevas variantes de archivos maliciosos ejecutables, nuevos certificados robados, implacables técnicas de suplantación mediante ingeniería social y la utilización de vulnerabilidades zero-days de Hacking Team:

Nuevos certificados robados El grupo Darkhotel parece mantener una reserva de certificados robados y los utiliza para firmar sus archivos maliciosos y backdoors  con el fin  de engañar al sistema objetivo. Algunos de los certificados revocados más recientes incluyen  a Xuchang Hongguang Technology Co. Ltd.  La empresa cuyos certificados fueron utilizados en ataques previos realizados por el grupo.

Implacable spearphishing. El APT de Darkhotel es persistente: intenta  spearphishing en un objetivo, y si no tiene éxito retorna varios meses después por otra oportunidad utilizando los mismos esquemas de ingeniería social.

Utilización de exploit zero-days de Hacking Team. El sitio web comprometido, tisone360.com, contiene un set de backdoors y exploits. La más interesante de ellas es la vulnerabilidad zero-day de Hacking Team para flash.

“Darkhotel ha vuelto con otro exploit para Adobe Flash Player alojado en una página web comprometida, y esta vez parece haber sido impulsado por la fuga de datos de Hacking Team. El grupo había dejado previamente un exploit diferente en el mismo sitio web, que se reportó  como zero-day a Adobe en enero de 2014”, mencionó uno de los investigadores de seguridad de Kaspersky Lab.

Desde el año pasado, el grupo ha trabajado duro para mejorar sus técnicas defensivas, ampliando su lista de la tecnología anti-detección. La versión 2015 de Darkhotel está diseñado para identificar las tecnologías de 27 antivirus.


By: 1000 tips informáticos

Nuy3

Nuy3

Ingeniero en sistemas amante de la seguridad informática. Fundador del blog "1000 tips informaticos" y colaborador en importantes sitios web como "hackerss" y "aletinte"

Previous post

Noticias rancias de la Gamescom 2015

Next post

Parece que la seguridad del dispositivo móvil está en la mente de nadie