Blog

NICKEL (aka APT15) dirige ataques a organizaciones de gobierno en Chile, Latinoamérica y Europa

Microsoft anunció el día de ayer de la exitosa incautación de 42 dominios utilizados por un grupo de ciberespionaje con sede en China que puso sus miras en organizaciones de Estados Unidos, Chile, Argentina, México y de otros 25 países, en virtud de una orden judicial emitida por un tribunal federal del estado norteamericano de Virginia.

La compañía de Redmond atribuyó las actividades maliciosas a un grupo denominado Nickel, y por parte de la industria de la ciberseguridad en general bajo los apelativos APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon y Vixen Panda. Se sospecha que el actor de la amenaza ha estado activo desde al menos dese 2012.

«Nickel ha tenido como objetivo organizaciones tanto del sector privado como del público, incluyendo organizaciones diplomáticas y ministerios de asuntos exteriores en América del Norte, América Central, América del Sur, el Caribe, Europa y África«, dijo el Vicepresidente Corporativo de Seguridad y Confianza del Cliente de Microsoft, Tom Burt.

La infraestructura falsa permitió al equipo APT15 en mantener el acceso a largo plazo a las máquinas comprometidas y ejecutar ataques con fines de recopilación de información y tareas de Ciberinteligencia, dirigidos a las agencias gubernamentales no identificadas, grupos de reflexión y organizaciones de derechos humanos como parte de una campaña de espionaje digital que se remonta a septiembre del 2019.

Microsoft declaro los ciberataques como «altamente sofisticados«, han estado utilizando una multitud de técnicas de intrusión, incluyendo la violación de los servicios de acceso remoto y la explotación de las vulnerabilidades en los dispositivos VPN sin sus correspondientes parches, así como los sistemas de Exchange Server y SharePoint para «insertar malware difícil de detectar que facilita la intrusión, la vigilancia y el robo de datos

Los países objetivos de Nickel son los siguientes:

  • Argentina
  • Barbados
  • Bosnia y Herzegovina
  • Brasil
  • Bulgaria
  • Chile
  • Colombia
  • Croacia
  • República Checa
  • República Dominicana
  • Ecuador
  • El Salvador
  • Francia
  • Guatemala
  • Honduras
  • Hungría
  • Italia
  • Jamaica
  • Mali
  • México
  • Montenegro
  • Panamá
  • Perú
  • Portugal
  • Suiza
  • Trinidad y Tobago
  • Reino Unido
  • Estados Unidos
  • Venezuela

El modus operandi de Nickel para comprometer los sistemas de una organización es la siguiente. Traz conseguir un punto de apoyo inicial de acceso, Nickel despliega una cantidad de herramientas de uso de credenciales y robos de estos mismos como Mimikatz y WDigest, para comprometer las cuentas de las víctimas, seguido de la entrega un de malware personalizado que permitía al actor mantener la persistencia en las redes de las víctimas durante largos períodos de tiempo y llevar a cabo la exfiltración de archivos, luego ejecuta un shellcode arbitrario y empieza a recopilar los correos electrónicos de cuentas de Microsoft 365, utilizando credenciales comprometidas.

Las múltiples familias de backdoors utilizadas para establecer comunicación con el servidor de Comando y Control (C2), están siendo rastreadas como:

  • Neoichor
  • Leeson
  • NumbIdea
  • NullItch
  • Rokum

La última oleada de ataques se suma a una extensa lista de campañas de software de vigilancia montadas por el grupo APT15 en los últimos años. Se tiene registros que en julio del 2020, la empresa de seguridad móvil Lookout reveló 4 aplicaciones legítimas troyanizadas (llamadas SilkBean, DoubleAgent, CarbonSteal y GoldenEagle) que se dirigían a la minoría étnica uigur y a la comunidad tibetana con el objetivo de recopilar datos personales de los usuarios a servidores de C2, operados por el adversario.

«A medida que la influencia de China en todo el mundo sigue creciendo y la nación establece relaciones bilaterales con más países y amplía las asociaciones en apoyo de la Iniciativa del Cinturón y la Ruta de China, evaluamos que los actores de amenazas con base en China seguirán apuntando a los clientes en los sectores gubernamental, diplomático y de ONG para obtener nuevos conocimientos, probablemente en busca de espionaje económico o de objetivos tradicionales de recopilación de inteligencia«, dijo Microsoft en su reporte.

Más información

https://blogs.microsoft.com/on-the-issues/2021/12/06/cyberattacks-nickel-dcu-china/

https://malpedia.caad.fkie.fraunhofer.de/actor/mirage

https://www.microsoft.com/security/blog/2021/12/06/nickel-targeting-government-organizations-across-latin-america-and-europe/

https://www.documentcloud.org/documents/21138968-nickel_bc_appendix_a_domains

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required