Octubre Rojo acomete nuevamente
Octubre Rojo (Red October en ingles) es una amenaza persistente avanzada o APT. Una campaña de ciber espionaje al más alto nivel, con el fin de espiar a políticos y líderes de todo el mundo. Ahora, han vuelto a la carga con nuevos trucos.
El retorno de la APT Octubre Rojo
Fue bautizado como Octubre Rojo, debido a que su fecha de lanzamiento fue en octubre del 2012. Usted puede ver nuestro análisis inicial en este post.
El hecho es que Octubre Rojo fue finalmente desechado debido a que sus servidores de red de infraestructura y de control (C & C) se han desactivado. Hablamos, sin embargo, muy bien organizados y, después de pasar unos meses en la sombra, siempre regresan con nuevas armas. Kaspersky ha llevado a cabo un análisis exhaustivo de la nueva cola del Octubre Rojo y usted tendrá las conclusiones importantes del estudio acontinuación.
Atlas de las Nubes
En agosto pasado, algunos usuarios de Kaspersky recibieron ataques de una variación conocida CVE-2012-0158 y un nuevo conjunto de instrucciones maliciosas. Después de un primer análisis, los técnicos de Kaspersky se fijaron en varias marcas que no son muy comunes en APT.
Uno de los nombres que se usaba se asemeja a Octubre Rojo, que solía emplear el spear-phishing con un documento llamado " Diplomatic Car for sale.doc". Aquí se observa un cambio en el comportamiento porque Microsoft Office no permite la creación de una puerta trasera a través de Windows PE, sino un script de Visual Basic que se ejecuta después de crear.
Este script descarga dos archivos en el disco un cargador y un archivo con el contenido o payload-. El cargador parece mutar en cada operación (polimórfico). El contenido malicioso siempre se cifra con una clave única, por lo que es imposible de descifrar sin la DLL.
¿Cómo se comunica con C & C?
Cloud Atlas emplea un mecanismo de comunicación inusual. Todas las muestras de malware se comunican a través de HTTPS y WebDAV llamados servidor cloudme.com (proveedor de servicios cloud). CloudMe, según su creador, pertenece a CloudMe AB, una empresa con sede en Suecia.
NOTA: No hay información que apunta a que el malware está directamente relacionada con CloudMe. Lo que pasa es que el atacante logra cuentas utilizadas como CloudMe después emplea centros de C & C.
Similitudes entre octubre y Red Cloud Atlas
También hay pruebas que apuntan al mismo autor de este malware del Octubre Rojo. El objetivo principal es Rusia, seguido de Kazajstán, de acuerdo con la red KSN. Además, algunos de los documentos con lanza-phishing entre las dos amenazas son casi idénticos, como podemos ver.
Visita Mejor Antivirus para estar al tanto de las últimas amenazas de seguridad informática y comparar antivirus.
Registro automático