Anunciese Aquí

Registro automático

Acceder con Twitter

top articulo
twitter
facebook
Rss
jueves 07 de julio del 2022
Lea, publique artículos gratis, y comparta su conocimiento
Usuario Clave ¿Olvidó su clave?
¿Iniciar sesión automáticamente en cada visita?
Inserte su correo electronico

Octubre Rojo acomete nuevamente

veces visto 1241 Veces vista   comentario 0 Comentarios

Octubre Rojo (Red October en ingles) es una amenaza persistente avanzada o APT. Una campaña de ciber espionaje al más alto nivel, con el fin de espiar a políticos y líderes de todo el mundo. Ahora, han vuelto a la carga con nuevos trucos.

El retorno de la APT Octubre Rojo

Fue bautizado como Octubre Rojo, debido a que su fecha de lanzamiento fue en octubre del 2012. Usted puede ver nuestro análisis inicial en este post.

El hecho es que Octubre Rojo fue finalmente desechado debido a que sus servidores de red de infraestructura y de control (C & C) se han desactivado. Hablamos, sin embargo, muy bien organizados y, después de pasar unos meses en la sombra, siempre regresan con nuevas armas. Kaspersky ha llevado a cabo un análisis exhaustivo de la nueva cola del Octubre Rojo y usted tendrá las conclusiones importantes del estudio acontinuación.

Atlas de las Nubes

En agosto pasado, algunos usuarios de Kaspersky recibieron ataques de una variación conocida CVE-2012-0158 y un nuevo conjunto de instrucciones maliciosas. Después de un primer análisis, los técnicos de Kaspersky se fijaron en varias marcas que no son muy comunes en APT.

Uno de los nombres que se usaba se asemeja a Octubre Rojo, que solía emplear el spear-phishing con un documento llamado " Diplomatic Car for sale.doc". Aquí se observa un cambio en el comportamiento porque Microsoft Office no permite la creación de una puerta trasera a través de Windows PE, sino un script de Visual Basic que se ejecuta después de crear.

Este script descarga dos archivos en el disco un cargador y un archivo con el contenido o payload-. El cargador parece mutar en cada operación (polimórfico). El contenido malicioso siempre se cifra con una clave única, por lo que es imposible de descifrar sin la DLL.

¿Cómo se comunica con C & C?

Cloud Atlas emplea un mecanismo de comunicación inusual. Todas las muestras de malware se comunican a través de HTTPS y WebDAV llamados servidor cloudme.com (proveedor de servicios cloud). CloudMe, según su creador, pertenece a CloudMe AB, una empresa con sede en Suecia.

NOTA: No hay información que apunta a que el malware está directamente relacionada con CloudMe. Lo que pasa es que el atacante logra cuentas utilizadas como CloudMe después emplea centros de C & C.

Similitudes entre octubre y Red Cloud Atlas

También hay pruebas que apuntan al mismo autor de este malware del Octubre Rojo. El objetivo principal es Rusia, seguido de Kazajstán, de acuerdo con la red KSN. Además, algunos de los documentos con lanza-phishing  entre las dos amenazas son casi idénticos, como podemos ver.

Clasificación: 2.4 (13 votos)
Está prohibido copiar este artículo. Artículo.org no permite la sindicación de sus artículos.
Acerca del autor

Visita Mejor Antivirus para estar al tanto de las últimas amenazas de seguridad informática y comparar antivirus.

¿Tiene comentarios o preguntas para el autor?

Lo sentimos, pero no podemos procesar su petición en este momento. Por favor pruebe mas tarde. Si el problema persiste, puede contactar con nosotros pinchando sobre el enlace aquí.