Un grupo de amenazas persistentes avanzadas (APT, por sus siglas en inglés) conocido como Cicada está atacando instituciones de todo el mundo, así como organizaciones no gubernamentales (ONG) y utiliza como vía el reproductor gratuito VLC.
PUEDES VER: Twitter cumple 16 años: ¿Cómo combatir la desinformación en la red social?
Según ha explicado la compañía tecnológica Broadcom Software, en los últimos meses esta agrupación de ciberdelincuentes, también conocida como APT10, ha marcado como objetivo organizaciones de Europa, Asia y América del Norte.
La actividad de Cicada fue vinculada por Estados Unidos con el Gobierno chino en 2018 y principalmente se centró en empresas relacionadas con Japón en sus etapas iniciales, fechadas en 2009.
PUEDES VER: iPhone: Reportan nuevo ataque de ‘phishing’ que suplanta la identidad del soporte de Apple
Recientemente, se han hallado conexiones de este grupo con ataques a proveedores de servicios gestionados (MSP, por sus siglas en inglés) a nivel global.
La atribución de esta actividad, que ha tenido lugar desde mediados de 2021 hasta febrero de 2022, se basa en la presencia en las redes infectadas de un ‘malware’ personalizado que utilizan estos ciberdelincuentes en exclusiva, llamada Sodamaster.
PUEDES VER: Microsoft confirma que LAPSUS$ accedió a una de sus cuentas y robo código fuente de Bing, Bing Maps y Cortana
Se trata de un ‘malware’ sin archivos que es capaz de realizar diferentes acciones, como la descarga y ejecución de cargas útiles adicionales o la modificación del nombre de usuario, el ‘host’ o el sistema operativo.
Tal y como ha podido determinar el equipo de investigadores de Symantec, una división de Broadcom, esta actividad se ha detectado en los servidores de Microsoft Exchange, que podrían haberse utilizado para obtener acceso a los sistemas de las víctimas.
Otras de las vías que ataque que han explotado estos ciberdelincuentes ha sido el reproductor gratuito VLC Media Player, en el que han podido introducir este ‘malware’ personalizado mediante la función de exportación de la aplicación.
Además, los miebros de la red Cicada --también conocida como Stone Panda, Potassim, Bronze Riverside o Equipo MenuPass-- han utilizado la herramienta WinVNC para el control remoto de los equipos de las víctimas.
Los ciberdelincuentes también han utilizado procedimientos como la herramienta de código abierto NBTScan, WMIExec o archivos RAR para proceder a estos ataques, principalmente destinado a instituciones relacionadas con el gobierno y ONGs.
Entre algunos de los sectores en los que se han concentrado estas acciones maliciosas destacan el de las telecomunicaciones, legal, educación, farmacéutico y el religioso.
Además, según ha podido comprobar Symantec estos se han originado en Estados Unidos, Hong Kong, Canadá, Turquía, Israel, India, Montenegro e Italia.
VIDEO RECOMENDADO
TE PUEDE INTERESAR
- LAPSUS$ continúa activo y se atribuye el robo de datos de la empresa de ‘software’ Globant
- Apple y Meta habrían filtrado datos de usuarios a delincuentes que se hicieron pasar por funcionarios públicos
- El ransomware más rápido del mundo y 5 consejos para evitarlo
- Twitter cumple 16 años: ¿Cómo combatir la desinformación en la red social?
- iPhone: Reportan nuevo ataque de ‘phishing’ que suplanta la identidad del soporte de Apple
Contenido sugerido
Contenido GEC