VOLVER A NOTICIAS
Última Hora

APT37 Despliega Nuevo Malware para Infiltrar Redes Aisladas mediante Unidades Removibles

4 min de lecturaFuente: BleepingComputer

Investigadores descubren una campaña de APT37 que utiliza malware inédito para vulnerar redes air-gapped mediante USB, permitiendo exfiltración de datos y espionaje en entornos de alta seguridad.

APT37 de Corea del Norte Amplía su Arsenal con Malware para Vulnerar Redes Aisladas

Investigadores en ciberseguridad han descubierto una nueva campaña del grupo norcoreano APT37 (también conocido como Reaper o ScarCruft), que involucra malware no documentado previamente, diseñado para conectar redes air-gapped con sistemas conectados a Internet. La cadena de ataque aprovecha unidades USB removibles para facilitar la exfiltración de datos y la vigilancia, lo que marca una evolución en las tácticas del grupo para atacar entornos de alta seguridad.

Análisis Técnico del Ataque

El malware, identificado en investigaciones recientes, opera a través de un proceso de infección en múltiples etapas:

  1. Vector de Infección Inicial: El ataque comienza con correos de phishing o spear-phishing, un punto de entrada común para APT37. Una vez que un sistema es comprometido, el malware establece persistencia y espera la conexión de una unidad removible.

  2. Propagación vía USB: Cuando un sistema infectado detecta una unidad USB conectada, el malware se copia a sí mismo en el dispositivo, a menudo disfrazando su carga útil como archivos legítimos o utilizando técnicas de autorun.inf para ejecutarse automáticamente al insertarse.

  3. Puente hacia Redes Aisladas: Al insertarse en un sistema air-gapped, el malware se activa, escaneando datos sensibles y estableciendo canales de comunicación encubiertos para exfiltrar información hacia la infraestructura controlada por el atacante. Este método elude las defensas tradicionales basadas en redes, dependiendo en su lugar de medios físicos para la transferencia de datos.

  4. Capacidades de Vigilancia: El malware incluye módulos para keylogging, captura de pantalla y robo de archivos, lo que permite una vigilancia exhaustiva de los sistemas comprometidos. Los investigadores señalan que las cargas útiles son altamente modulares, permitiendo a los atacantes adaptar la funcionalidad según objetivos específicos.

Aunque no se han asignado CVE IDs a estas herramientas recién descubiertas, la sofisticación del malware sugiere una inversión significativa en evadir la detección, incluyendo técnicas anti-análisis como evasión de sandboxes y comunicaciones cifradas.

Impacto y Objetivos

APT37 tiene un historial de ataques a agencias gubernamentales, contratistas de defensa e infraestructuras críticas en Corea del Sur, Japón y Oriente Medio. El giro del grupo hacia sistemas air-gapped indica un enfoque en redes aisladas de alto valor, como las utilizadas en sectores militar, nuclear o financiero. El uso de propagación vía USB coincide con tácticas observadas en otras campañas patrocinadas por estados, como Stuxnet y Agent.BTZ, aunque las herramientas de APT37 parecen estar diseñadas para espionaje en lugar de sabotaje.

Este descubrimiento subraya la amenaza persistente que representan los actores estatales para entornos air-gapped, que a menudo se perciben como inherentemente seguros debido a su aislamiento físico. Sin embargo, la dependencia de medios removibles introduce una vulnerabilidad crítica, ya que incluso una sola unidad USB comprometida puede servir como puente para la exfiltración de datos.

Mitigación y Recomendaciones

Los equipos de seguridad, especialmente aquellos que gestionan redes air-gapped o de alta seguridad, deben implementar las siguientes medidas para mitigar esta amenaza:

  • Controles de Acceso a USB: Restringir el uso de unidades removibles solo al personal autorizado y aplicar listas blancas de dispositivos aprobados. Considerar deshabilitar la funcionalidad de autorun en todos los sistemas.

  • Detección y Respuesta en Endpoints (EDR): Implementar soluciones EDR capaces de detectar comportamientos anómalos, como transferencias no autorizadas de archivos a medios removibles o ejecución inusual de procesos.

  • Segmentación de Red: Aunque los sistemas air-gapped están físicamente aislados, las redes adyacentes deben segmentarse para limitar el movimiento lateral en caso de una brecha.

  • Capacitación en Concienciación: Educar a los empleados sobre los riesgos de los ataques basados en USB, incluyendo campañas de phishing que pueden preceder al despliegue de malware.

  • Auditorías Regulares: Realizar auditorías frecuentes de sistemas air-gapped para detectar cambios no autorizados en hardware o software. Implementar monitoreo de integridad de archivos (FIM) para identificar modificaciones sospechosas.

  • Intercambio de Inteligencia de Amenazas: Colaborar con pares de la industria y agencias gubernamentales para mantenerse informado sobre amenazas emergentes de grupos como APT37. Monitorear indicadores de compromiso (IOCs) asociados con esta campaña.

Conclusión

El descubrimiento del último malware de APT37 destaca el constante juego del gato y el ratón entre actores de amenazas y defensores en entornos de alta seguridad. Aunque las redes air-gapped siguen siendo un mecanismo de defensa crítico, su vulnerabilidad a ataques basados en medios físicos exige un enfoque de seguridad en capas. Las organizaciones deben permanecer vigilantes, combinando controles técnicos con caza proactiva de amenazas para contrarrestar las amenazas persistentes avanzadas.

Para más detalles, incluyendo IOCs y análisis técnico, consulte el informe original en BleepingComputer.

Compartir

TwitterLinkedIn