Firma aeroespacial estadounidense afectada por un ataque de spearphishing

-


A medida que surgieron noticias en los últimos días de que el actor de amenazas apodado AeroBlade llevó a cabo espionaje al dirigirse a una organización aeroespacial de EE. UU. mediante un ataque de spearphishing, los profesionales de seguridad expresaron su preocupación de que las empresas estadounidenses aún no han aprendido lecciones básicas de ciberseguridad.

"Este es un gran ejemplo de cómo el mundo aún no se toma lo suficientemente en serio la ciberseguridad", dijo Roger Grimes, evangelista de defensa basada en datos en KnowBe4. "La aeroespacial es una industria de infraestructura crítica y debería tener una ciberseguridad tan sólida como cualquier otra organización. Y, sin embargo, el spear phishing, que existe desde hace más de tres décadas, continúa teniendo éxito de manera consistente".

Grimes dijo que la industria aeroespacial y otras industrias críticas deben seguir cuatro pasos básicos para prevenir estos ataques de phishing: capacitación agresiva en contra de la ingeniería social, parcheo 100% consistente, autenticación multifactor resistente al phishing y políticas de contraseñas sólidas. "Si la industria aeroespacial diera solo esos cuatro pasos, amenazas como AeroBlade no tendrían éxito continuado", dijo Grimes.

En una publicación de blog del 30 de noviembre, el equipo de Investigación e Inteligencia de Amenazas de BlackBerry explicó que el ataque de spearphishing en sí fue un documento armado enviado como un archivo adjunto de correo electrónico que contenía una técnica de inyección remota de plantillas incorporada y un código malicioso de macros VBA.

Los investigadores dijeron que las pruebas sugieren que la infraestructura de red del atacante y la militarización se volvieron operativas alrededor de septiembre de 2022. BlackBerry evaluó con "mediana a alta confianza" que la fase ofensiva del ataque ocurrió en julio de 2023.

Así es como los investigadores dijeron que se ejecutó el ataque (ver ilustración a continuación): Se entregó un documento malicioso de Microsoft Word llamado [redactado].docx a través de spearphishing por correo electrónico, que cuando se ejecuta manualmente por el usuario, utiliza una inyección remota de plantillas para descargar un archivo de segunda etapa llamado "[redactado].dotm". Este archivo a su vez ejecuta "item3.xml", que crea una shell inversa conectándose a "redactado[.]redactado[.]com" a través del puerto 443.



Por qué estos ataques son más sofisticados de lo que parecen inicialmente

Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start, explicó que el intervalo de tiempo de casi un año entre el ataque inicial y la fase ofensiva posterior sugiere que los atacantes estaban desarrollando y perfeccionando sus herramientas y estrategias. Guenther dijo que esto indica un alto nivel de compromiso y recursos, típicos de grupos delictivos altamente organizados o respaldados por el estado.

Guenther agregó que la gravedad de estos ataques radica en su sofisticación, naturaleza dirigida y el impacto potencial en la infraestructura crítica e información sensible. Si bien el vector de ataque inicial fue un fraude de correo electrónico dirigido, el documento armado utilizó una técnica de inyección remota de plantillas, un método más sofisticado en comparación con los ataques de phishing tradicionales. Guenther dijo que esta técnica implica recuperar una carga útil de un servidor remoto, que se ejecuta cuando la víctima habilita las macros en el documento de Microsoft Word.

"Es una manera inteligente de eludir algunas medidas de seguridad que podrían detectar archivos adjuntos maliciosos más directos", dijo Guenther.

La inyección remota de plantillas involucraba el despliegue de una DLL que funciona como una shell inversa, explicó Guenther. Es un método utilizado para tomar el control de un sistema obligándolo a abrir un puerto y comunicarse con un servidor de comando y control que permite a los atacantes ejecutar comandos de forma remota en la máquina de la víctima. Guenther dijo que el malware tenía la capacidad de enumerar directorios, lo que indica un esfuerzo de reconocimiento.

"Esto es típico en operaciones de espionaje, donde los atacantes evalúan primero el valor de los datos disponibles en el host infectado antes de decidir sus próximos pasos", dijo Guenther. "La DLL utilizada en el ataque estaba fuertemente ofuscada y equipada con funciones anti-análisis y anti-desensamblaje. Esto dificulta que los profesionales de ciberseguridad analicen y comprendan el malware, una táctica com

ún para retrasar la detección y mitigación. También utilizaron el Programador de tareas para la persistencia, nombrando una tarea 'WinUpdate2' para ejecutarse diariamente. Esta táctica asegura que el malware permanezca activo y no detectado en el sistema infectado durante un período prolongado".

Donovan Tindill, director de ciberseguridad de OT en DeNexus, agregó que el actor de amenazas tuvo paciencia, pasando nueve meses en una fase de prueba antes de intensificar su ataque ofensivo en julio de 2023. En estas campañas más sofisticadas, Tindill dijo que los actores de amenazas buscarán aprender tanto como sea posible sobre la organización, incluyendo sus fortalezas, debilidades, datos financieros, datos ciber-técnicos, vulnerabilidades y contraseñas.

Tindill dijo que aunque BlackBerry afirma un ciberespionaje comercial con "alta confianza", no hay garantía de que el actor de amenazas no intensifique su ataque a ransomware, cifrado de datos y exija un pago de extorsión en el futuro. Además, la subindustria aeroespacial no ha sido identificada, como una aerolínea, aeropuerto o fabricante de aeronaves.

"Cada una de estas subindustrias podría tener un impacto diferente en la cadena de suministro aeroespacial", dijo Tindill. "Las organizaciones aeroespaciales son generalmente muy grandes y tienen programas de ciberseguridad más maduros. Un actor de amenazas altamente motivado tendría que ser paciente, recopilar datos y tomar medidas cuidadosas para evitar la detección y garantizar el éxito a largo plazo de la misión".

Anurag Gurtu, CPO en StrikeReady, calificó el ataque AeroBlade como grave debido a la naturaleza sensible de los datos que poseen las empresas aeroespaciales, incluidos detalles de seguridad nacional y patentes tecnológicas. Gurtu agregó que las técnicas empleadas a menudo implican correos electrónicos y tácticas de ingeniería social bien elaborados diseñados para extraer información sensible o propagar software malicioso.

"Para contrarrestar tales amenazas, es esencial que las organizaciones no solo refuercen sus defensas de ciberseguridad, sino que también enfaticen la capacitación de los empleados en la identificación y respuesta a intentos de phishing", dijo Gurtu. "Este enfoque dual es crucial para protegerse contra posibles violaciones que podrían provocar una pérdida significativa de propiedad intelectual y riesgos para la seguridad nacional".


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

DeepSeek: Ciberataque expone vulnerabilidades críticas en su modelo de IA R1 y reaviva debates sobre seguridad global

-
Imagen
La empresa china de inteligencia artificial DeepSeek enfrenta una tormenta de críticas tras revelar que un ciberataque masivo interrumpió sus servicios de registro de usuarios este lunes. El incidente coincide con hallazgos alarmantes de investigadores de seguridad: su modelo de IA *R1*, promocionado como una alternativa económica a ChatGPT y Gemini, presenta vulnerabilidades que permiten generar contenido malicioso y evadir controles éticos.   Detalles del ataque y fallos técnicos  Ataque DDoS sospechado : Aunque DeepSeek no confirmó detalles técnicos, expertos sugieren que el ataque fue de denegación de servicio (DDoS), saturando sus servidores para bloquear nuevos registros. La empresa aseguró que los usuarios existentes no se vieron afectados.   Falsas cuentas y riesgos de suplantación : DeepSeek alertó sobre perfiles falsos en redes sociales que imitan su marca, un movimiento que podría vincularse a campañas de phishing o desinformación.   Vulner...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más