¿Quién es APT32?

APT32 (también conocida como Ocean Lotus, APT-C-00, SeaLotus y Cobalt Kitty) es una amenaza cibernética militar vietnamita activa desde 2014 (o antes) que ataca a varias entidades consideradas hostiles a los intereses nacionalistas vietnamitas. APT32 tiene como objetivo empresas extranjeras que hacen negocios en Vietnam, críticos del gobierno vietnamita, activistas de derechos humanos vietnamitas locales y expatriados, y gobiernos extranjeros rivales del sudeste asiático, especialmente Filipinas y Camboya. Los ataques de APT32 suelen coincidir con importantes negociaciones contractuales y legales entre empresas extranjeras y el gobierno vietnamita.

Cronología de la actividad destacada de Apt32

2014: Inicia campañas cibernéticas dirigidas contra una empresa de seguridad vietnamita, empresas extranjeras en Vietnam y expatriados vietnamitas.

2016: Se dirige a empresas tecnológicas filipinas y a un promotor hotelero chino en Vietnam

2017: Los objetivos son ciudadanos vietnamitas en Australia, el Gobierno filipino, una empresa de seguridad local vietnamita y una empresa alemana que opera legalmente en Vietnam.

2018-2020: Dirigido a activistas de derechos humanos vietnamitas, tanto locales como en el extranjero

2020: Operaciones de APT32 vinculadas a una empresa vietnamita llamada CyberOne Group.

Cómo funcionan los ataques APT32

Los ataques APT32 utilizan malware de recolección con funciones completas y distintas, aunque menos sofisticado, y herramientas disponibles en el mercado para llevar a cabo campañas de ciberespionaje. Los ataques de APT32 comienzan a través de campañas de spear-phishing altamente personalizadas que incluyen archivos adjuntos con extensiones dobles como .doc.exe diseñadas para engañar a las víctimas haciéndoles creer que están abriendo un documento de Office cuando en realidad están ejecutando la carga útil ejecutable portátil (PE) de APT32. Durante su larga historia, APT32 también ha desarrollado kits de herramientas de spyware personalizados capaces de infectar y robar información de dispositivos basados en macOS, Android y Windows.

Tácticas, técnicas y procedimientos comunes APT32 (TT&P)

Hackear los sitios web de los adversarios para recopilar información y rastrear su base de usuarios.
Malware personalizado para macOS que utiliza la técnica de la doble extensión o macros de Office maliciosas escritas en el lenguaje de programación Perl.
Uso de la red social Facebook para propagar programas maliciosos mediante ataques de ingeniería social
Utilización de la herramienta legítima de pruebas de penetración Cobalt Strike como programa espía de mando y control (C2).

Variedades de malware exclusivas de APT32 o estrechamente relacionadas con ella

METALJACK: un malware de primera etapa relativamente nuevo exclusivo de APT32 utilizado por primera vez en 2020 capaz de iniciar la cadena de infección y cargar malware de segunda etapa.

Denis (también conocido como DenisRAT): descubierto por primera vez en 2017, Denis puede capturar pulsaciones de teclas, robar credenciales de inicio de sesión, tomar capturas de pantalla, robar información confidencial, descargar malware adicional y moverse lateralmente para infectar otros sistemas.

Kerrdown: exclusivo de APT32 y en uso desde 2018, Kerrdown es un módulo de malware descargador utilizado para instalar spyware

Windshield: un simple troyano de acceso remoto (RAT) de puerta trasera basado en TCP que interactúa con el sistema de archivos del host víctima y extrae información del sistema, además de detener los procesos del sistema host.

Komprogo: una RAT de puerta trasera exclusiva de APT32 que permite la ejecución remota de comandos, la filtración de información del sistema host y la ejecución de consultas de Windows Management Instrumentation (WMI).

Soundbite: una completa RAT utilizada exclusivamente por APT32 que puede cargar archivos y ejecutar comandos en hosts infectados utilizando el protocolo DNS para operaciones C2.

Señales de un ataque APT32

Las direcciones IP, los dominios y las firmas hash de cargas útiles asociadas a ataques APT32 anteriores pueden bloquear el acceso a hosts de cargas útiles y servidores C2 APT32 conocidos y ayudar a los productos de seguridad informática defensiva a identificar posibles ataques APT. Sin embargo, los ataques APT32 emplean tácticas de ingeniería social para inducir a las víctimas a abrir archivos maliciosos o acceder a enlaces maliciosos. Estos ataques suelen utilizar archivos enviados en formatos comprimidos, como archivos zip que se descomprimen en documentos de Office o archivos ejecutables de doble extensión, y enlaces con URL acortadas diseñados para enmascarar la URL de destino real.

Cómo prevenir un ataque APT32

La forma más eficaz de prevenir un ataque APT32 es estar alerta ante los ataques de ingeniería social que le incitan a abrir archivos de fuentes no fiables. Si participa en actividades relacionadas con el gobierno vietnamita, debe tener especial cuidado con cualquier documento o enlace publicado en foros públicos de redes sociales. En el caso de las empresas, la mejor forma de prevenir un ataque APT32 con éxito es impartir formación de concienciación a los usuarios para educar al personal interno sobre los procedimientos adecuados para evaluar y manipular documentos, así como un programa completo de ciberseguridad basado en la defensa en profundidad.

CylanceGATEWAY evita los ataques de ingeniería social

Zero Trust Network Access (ZTNA) puede prevenir ataques de ingeniería social. ^{CylanceGATEWAY™} protege su red antes de que un actor de amenazas pueda acceder a ella y empezar a moverse lateralmente por ella.

SABER MÁS

Más recursos