NetTraveler está de vuelta: La APT Estrella Roja regresa con nuevos trucos

04/09/2013 Alberto Marín Morán Kaspersky, NetTraveler

El Equipo Global de Investigación y Análisis de Kaspersky Lab anuncia un nuevo vector de ataque de NetTraveler

SUNRISE, FL – 4 de septiembre de 2013– Investigadores de Kaspersky Lab anunciaron hoy un nuevo vector de ataque de NetTraveler (también conocido como » Travnet «, » Netfile » o APT Estrella Roja), una amenaza persistente avanzada que ya ha infectado a cientos de víctimas de alto perfil en más de 40 países. Los blancos conocidos de NetTraveler incluyen a activistas tibetanos /Uigur, empresas de la industria petrolera, centros e institutos de investigación científica, universidades, empresas privadas, gobiernos e instituciones gubernamentales, embajadas y contratistas militares.

Inmediatamente después de la exposición pública de las operaciones de NetTraveler en junio de 2013, los asaltantes cerraron todos los sistemas de mando y control conocidos y se trasladaron a nuevos servidores en China, Hong Kong y Taiwán. También continuaron los ataques sin obstáculos, como lo demuestra el caso actual.

En los últimos días, varios correos de phishing fueron enviados a varios activistas uigures. El exploit Java utilizado para distribuir esta nueva variante del APT Estrella Roja fue parcheado recientemente en junio de 2013 y tiene una tasa de éxito mucho mayor. Los ataques anteriores utilizaron un exploit de Office (CVE-2012 – 0158 ) que fue parcheado por Microsoft en abril.

Además de la utilización de correos de spear-phishing, los operadores de APT han adoptado la técnica de watering hole (redirecciones de web y descargas automáticas mientras se navega en dominios comprometidos) para infectar a las víctimas que navegan por la web.

Durante el último mes, Kaspersky Lab ha interceptado y bloqueado una serie de intentos de infección del dominio » wetstock [dot ] org «, un sitio conocido relacionado a los ataques de NetTraveler anteriores. Estas redirecciones parecen provenir de otros sitios web relacionados a los uigures que fueron comprometidos e infectados por los atacantes de NetTraveler.

Los expertos del Equipo Global de Investigación y Análisis de Kaspersky Lab (GReAT, por sus siglas en ingles) predicen que otros exploits recientes podrían integrarse y utilizarse contra los blancos del grupo y ofrecen recomendaciones sobre cómo mantenerse a salvo de este tipo de ataques, entre ellos:

● Actualice Java a la versión más reciente o, si usted no utiliza Java, desinstálelo. ● Actualice Microsoft Windows y Office a sus últimas versiones. ● Actualice software de terceros, como Adobe Reader. ● Utilice un navegador seguro como Google Chrome, que tiene un ciclo de desarrollo más rápido y parches que el navegador por defecto de Windows, Internet Explorer. ● Tenga cuidado al hacer clic en enlaces y abrir archivos adjuntos de personas desconocidas.

Citas Costin Raiu, Director del Equipo Global de Investigación y Análisis Kaspersky Lab«Hasta ahora, no hemos notado el uso de vulnerabilidades de ‘día cero’ por el grupo de NetTraveler. Para defenderse de estas, a pesar de que los parches no ayudan, tecnologías como la Prevención Automática de Exploits y DefaultDeny pueden ser muy eficaces en la lucha contra amenazas persistentes avanzadas».

Para obtener más información sobre el nuevo ataque de NetTraveler, por favor visite securelist.com.

Acerca de Kaspersky Lab

Kaspersky Lab es el proveedor privado más grande del mundo de soluciones de protección para endpoints. La compañía está clasificada entre los cuatro principales proveedores de soluciones de seguridad para los usuarios de endpoints*. Durante sus ya más de 15 años de historia, Kaspersky Lab continúa siendo una compañía innovadora en la seguridad informática y ofrece soluciones efectivas en seguridad digital para las grandes compañías, pequeñas y medianas empresas y consumidores. Kaspersky Lab, a través de su compañía de holding registrada en el Reino Unido, opera actualmente en casi 200 países y territorios en todo el mundo, ofreciendo protección para más de 300 millones de usuarios a nivel global. Para obtener mayor información, visitehttp://latam.kaspersky.com.

*La compañía logró el cuarto lugar en la clasificación IDC de los Ingresos por Seguridad de Endpoints en el Mundo por Proveedor, 2011. La clasificación fue publicada en el reporte IDC del «Pronóstico Mundial de Endpoint Security 2012-2016 y Acciones de Proveedores 2011» – (IDC #235930, Julio de 2012). El reporte calificó a los proveedores de software según sus ganancias por las ventas de soluciones de Endpoint Security en 2011.