- El notorio grupo de piratería Salt Typhoon puede estar apuntando a empresas de telecomunicaciones
- Los investigadores identificaron estrategias utilizadas previamente por el grupo.
- Salt Typhoon violó hasta 8 redes de telecomunicaciones de EE. UU. en una campaña masiva de ciberespionaje
El conocido grupo de hackers chino Salt Typhoon ha sido nuevamente vinculado a intrusiones contra empresas de telecomunicaciones, esta vez en Europa.
Un nuevo informe de DarkTrace afirma que el grupo ha estado apuntando a “apuntar a infraestructura en todo el mundo utilizando técnicas tácticas como descarga de DLL y exploits de día cero”.
La actividad de infiltración en las primeras etapas identificó reflejos de tácticas anteriores de SALT Typhoon, como ataques masivos a hasta 8 compañías de telecomunicaciones diferentes en una campaña de varios años sólida y de gran alcance en la que el grupo utilizó una falla de alta gravedad de Cisco para obtener acceso, robar la información de millones de clientes de telecomunicaciones estadounidenses y, finalmente, recolectar dispositivos para recolectar tráfico de la red.
Carga lateral de DLL
En el último incidente, DarkTrace evaluó con confianza moderada que Salt Typhoon explotaba herramientas legítimas con confidencialidad y persistencia, utilizando un dispositivo de puerta de enlace Citrix NetScaler para obtener acceso principal.
A partir de ahí, los delincuentes implementaron el malware Snappybee, también conocido como Deed RAT, que se lanza mediante una técnica llamada carga lateral de DLL, otra técnica comúnmente utilizada por los actores de amenazas chinos.
“La puerta trasera se distribuyó a estos puntos finales internos como una DLL junto con archivos ejecutables válidos para software antivirus como Norton Antivirus, Bikav Antivirus e IObit Malware Fighter”, explicó Darktrace.
“Este patrón de actividad indica que el atacante se basó en la carga lateral de DLL a través de software antivirus legítimo para ejecutar sus cargas útiles. Salt Typhoon y grupos similares tienen un historial de uso de esta técnica, lo que les permite ejecutar cargas útiles disfrazadas de software confiable y eludir los controles de seguridad tradicionales”.
Darktrace dice que las intrusiones se detectan y remedian antes de que un ataque pueda escalar más allá de las etapas iniciales, neutralizando la amenaza.
Esto resalta la importancia vital de la defensa y detección proactivas basadas en anomalías frente a los enfoques más tradicionales basados en firmas, especialmente dado el crecimiento continuo de actores de amenazas patrocinados por el estado.
El mejor antivirus para todos los bolsillos
