El conocido APT33 colectiva criminal que ha sido cuidadosamente apuntando individuos y organizaciones en los EE.UU., Asia, y Oriente Medio, ha tenido especial cuidado en hacer más difícil el seguimiento, dicen los investigadores de Trend Micro.
APT33, que los investigadores creen que está siendo apoyado por el gobierno de Irán, ha estado utilizando su propia red de nodos VPN.
Los dominios de mando y control de APT33 se encuentran normalmente en los proxies alojados en la nube, que las peticiones de URL de transmisión de los robots de infectados a backends en servidores web compartidos. Estos servidores web pueden ser anfitrión de miles de dominios legítimos. Así, lo que sucede a continuación.
De acuerdo a El informe de Trend Micro, “los backends informan los datos a un servidor bot agregador de datos y control de robot que está en una dirección IP dedicada. Los actores APT33 se conectan a estos agregadores través de una red VPN privada con nodos de salida que se cambian con frecuencia. Los actores APT33 luego emitir órdenes a los robots y recolección de datos de los robots que utilizan estas conexiones VPN.”
Parece que con estos últimos mecanismos de ataque, el colectivo piratería ha estado apuntando principalmente a las víctimas en el aceite y las industrias de la aviación. La mayoría de los ataques de este año, “Firmado” por APT33 han utilizado lanza-phishing comprometer diversos objetivos.
Las víctimas de campañas de malware de 2019 llevadas a cabo por los agentes de amenaza incluyen un U.S privada. relacionados con la seguridad nacional empresa, individuos relacionados con una universidad y una universidad en los EE.UU., un individuo relacionada con la U.S. militar, y algunas otras víctimas en el Medio Oriente y Asia.
VPN Red de APT33
actores de amenaza suelen utilizar servicios comerciales VPN en sus operaciones, pero la creación de redes privadas es también una cosa. Esto se puede lograr fácilmente mediante el alquiler de un par de servidores de centros de datos internacionales.
Así, ¿Cómo fueron los investigadores capaces de realizar un seguimiento de esta actividad?
Aunque las conexiones de redes privadas VPN todavía provienen de direcciones IP aparentemente no relacionadas de todo el mundo, este tipo de tráfico es realmente más fácil de pista. Una vez que sabemos que un nodo de salida, principalmente está siendo utilizado por un actor particular, podemos tener un alto grado de confianza en la atribución de las conexiones que se hacen de las direcciones IP del nodo de salida. Por ejemplo, además de la administración de C&servidores C desde un nodo privado salida VPN, un actor también podría estar haciendo el reconocimiento de las redes objetivos.
Los investigadores también creen que probablemente APT33 utiliza sus nodos de salida VPN exclusivamente. Trend Micro ha sido el seguimiento de algunos de los nodos de salida VPN privada del Grupo desde hace más de un año, y como un resultado, algunas direcciones IP relacionadas con las operaciones de los hackers se han descubierto.
Además de la capa de VPN, los hackers también están utilizando una capa controlador bot, un comando y control de la capa de back-end de servidores utiliza para gestionar redes de bots de malware, y una capa de proxy, o una colección de servidores proxy nube.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: