Blog

Un grupo APT Chino es vinculado a un ataque contra el sector financiero de Taiwán

Un grupo APT (amenazas persistentes avanzadas) patrocinado por los intereses y objetivos del gobierno de China ha sido vinculado a un ataque organizado a la cadena de suministro del sector financiero de Taiwán. Se teoriza que los ataques comenzaron a finales de noviembre de 2021, y las intrusiones se atribuyen a un actor de amenazas rastreado como APT10, también conocido como Stone Panda, MenuPass y Bronze Riverside, y que se sabe que está activo desde al menos 2009.

La segunda ola de ataques alcanzó su punto álgido hace dos semanas, entre el 10 y el 13 de febrero de 2022, según un nuevo informe publicado por la empresa taiwanesa de ciberseguridad, CyCraft, que afirma que el amplio compromiso de la cadena de suministro se dirigió específicamente a los sistemas de software de las instituciones financieras, dando lugar a «casos anómalos de realización de pedidos«.

Diagrama de Flujo del Ataque
Imagen: CyCraft

La actividad de infiltración, cuyo nombre en clave es «Operación Cache Panda«, explotó una vulnerabilidad en la interfaz de gestión web del software de valores sin nombre que tiene una cuota de mercado de más del 80% en Taiwán, utilizándola para desplegar una shell web que actúa como conducto para implantar Quasar en el sistema comprometido con el objetivo de robar información sensible.

remote-desktop
Captura de Quasar RAT en ejecución
Imagen: Quasar

Quasar RAT es un una herramienta de acceso remoto (RAT) de código abierto y escrito en .NET. Sus funciones incluyen la captura de pantallas, la grabación de la cámara web, la edición del registro, el registro de teclas y el robo de contraseñas. Además, los ataques aprovecharon un servicio chino de intercambio de archivos en la nube llamado wenshushu.cn para descargar herramientas auxiliares.

La revelación se produce en el momento en que el Parlamento de Taiwán, el Yuan Ejecutivo, dio a conocer un proyecto de enmiendas a las leyes de seguridad nacional destinadas a combatir los esfuerzos de espionaje económico e industrial de China. Para ello, el uso no aprobado de tecnologías nacionales críticas y secretos comerciales fuera del país podría conllevar una pena de hasta 12 años de prisión.

Además, las personas y organizaciones a las que el gobierno taiwanés haya encomendado o subvencionado la realización de operaciones relacionadas con tecnologías nacionales críticas deberán obtener la aprobación previa del gobierno para cualquier viaje a China, ya que de lo contrario podrían incurrir en multas de hasta unos $359.000 dólares estadounidenses.

Las actividades de diferentes actores de amenazas que trabajan de manera independiente o dependiente del estado, han ido en aumento en los últimos años. Las campañas de ciberespionaje no son suficientes, el sabotaje informático ante países enemigos es parte de los objetivos estratégicos de los grupos APTs. 2022 será un año muy interesante.

Más información

https://medium.com/cycraft/supply-chain-attack-targeting-taiwan-financial-sector-bae2f0962934

https://malpedia.caad.fkie.fraunhofer.de/details/win.quasar_rat

https://malpedia.caad.fkie.fraunhofer.de/actor/stone_panda

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required