Investigadores de CiberSeguridad han descubierto una campaña de espionaje que tenia como objetivo un centro de datos en un país asiático que conducía a un ataque tipo Watering Hole.
El termino Watering Hole hace referencia a un método empleado por atacantes para realizar campañas de APT, en donde se aprovecha la confianza que tiene una organización en un sitio web en particular para perpretar el ataque.
Este tipo de ataques se logran explotar, teniendo como antecedente el comportamiento de los usuarios. Por ejemplo, tenemos una empresa que hace repostería, y tenemos el antecedente que la gran mayoría de los usuarios ingresa a portales de recetas de tortas. El atacante buscará vulnerar el sitio web del portal de tortas, inyectar un código malicioso en ella y así lograr infectar a esta empresa que hace repostería.
La campaña se cree que está activa desde finales del 2017 pero recién en marzo los investigadores de Kaspersky, publicaron un artículo en donde se atribuía a este tipo de ataques a un grupo Chino llamado LuckyMouse, o también conocido como Iron Tiger, EmissaryPanda, APT 27, y Threat Group-3390.
El grupo ha estado activo desde el 2010, y han sido descubiertos realizando el robo de grandes datos de información a altos ejecutivos de contratistas que prestan servicio a la defensa de los Estados Unidos.
Según informan los investigadores, el grupo inyecto un JavaScript en la página oficial de gobierno, el cual asoció con un centro de datos para poder conducir el ataque de Watering Hole.
Hasta ahora se cree que el vector de ataque de LuckyMouse fue el phising, mediante la explotación de la vulnerabilidad CVE-2017-11882 de Microsoft, en la cual enviaba correos a empleados de la organización y así comprometer sus cuentas.
El malware que estaba siendo distribuido se llama HyperBro el cual es un RAT (Remote Access Troyan), y con esto lograban mantener persistencia en los dispositivos objetivos logrando mantener la administración de los equipos infectados.
"Ahí existen evidencias de HyperBro en los centros de datos infectados desde mediados del 2017. Prontamente despues de esto, los usuarios fueron redirigidos a un sitio malicioso update.iaacstudio.[com] como un resultado del ataque Watering Hole en el sitio del gobierno." Esto dijo el investigador en el post que publicó.
