NetTraveler incorpora nuevos ataques – Watering hole

0

Ayer comentamos la reaparición de un “viejo” conocido, NetTraveler o, como también se le llamaba, Red Star. Se trata de una peligrosa APT –Advanced Persisten Threat– o amenaza persistente avanzada. Hemos visto como se han producido ataques tipo spear-phishing contra organismos tibetanos, pero hoy vamos a hablar de otro caso.


Watering Hole (pozo o abrevadero): Se trata de un ataque dirigido (de pequeño espectro) hacia una industria, región u organización. El ataque consiste de 3 fases principales: averiguar que recursos web emplea el colectivo; infectar uno o más de estos sitios web de forma silenciosa; esperar a que, mediante la explotación de vulnerabilidades conocidas existentes, los usuarios que beban del “pozo” resulten infectados.


Y es que los ataques tipo “Watering Hole” se están haciendo un hueco entre las costumbres de los operadores de este tipo de amenazas. Por eso no sorprende que NetTraveler haya incorporado esta a su arsenal. Kaspersky Labs ha comunicado que el pasado mes bloqueó diversos intentos de infección procedentes del dominio relacionado con esta APT: wetstock(punto)com. Las redirecciones procedían -otra vez- de un sitio web relacionado con los uygures y pertenecía a la Asociación islámica de Turkistán del Este.

Página web infectada

Un vistazo rápido al código HTML del sitio web muestra una infección “iframe” que es común en muchos sitios web maliciosos:

Código html encontrado en NetTraveler

La página html en “wetstock(punto)com” referenciada por el iframe, contiene otro applet malicioso, llamado “ie.jar“.

Conclusiones

Inmediatamente después del conocimiento público de las operaciones desarrolladas por la APT, los atacantes cesaron toda actividad, apagando sus centros de Control y moviéndolos a nuevos servidores en China, Hong Kong y Taiwan. Sin embargo, su actividad delictiva continuó sin obstáculos, como muestra este caso.

El empleo del exploit de Java CVE-2013-2465 mezclado con el ataque “watering hole” es nuevo, es algo diferente a lo anteriormente visto de las manos de este grupo delictivo. Obviamente tiene mayor porcentaje de éxito que el simple envío por email de documentos vulnerados o modificados, que era el vector de ataque preferido hasta ahora. Los expertos creen -y les sobran motivos- que los responsables de esto incorporarán nuevos exploits conocidos para seguir atacando sus grupos de objetivos preferidos.

Recomendaciones para estar a salvo de estos ataques:

1) Actualiza Java a su versión más reciente. Si no vas a usar Java, desinstálalo.

2) Actualiza Microsoft Windows y Office  a sus últimas versiones.

3) Actualiza todo el software de terceros, como Adobe Reader o Flash Player.

4) Usa un navegador “seguro” como Chrome o Firefox, que cuente con un ciclo más corto de desarrollo de parches que Internet Explorer.

5) Pensad siempre dos veces si debéis abrir un enlace o archivo de un desconocido.

Aún no hemos visto ataques que se aprovechen de vulnerabilidades zero-day en lo que se refiere a NetTraveler. Pero, para defendernos de estos, aunque los parches no ayuden existen tecnologías como AEP (Automatic Exploit Prevention) y DefaultDeny (ambas de Kaspersky) que son bastante efectivas contra este tipo de APTs.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR