Grupo APT33 realiza ataques de botnets

Investigadores de seguridad de Trend Micro descubren nueva ola de ciberataques utilizando malware ofuscado con docenas de servidores botnet de Command and Control (C&C), dirigidos contra organizaciones de Medio Oriente, Asia y los Estados Unidos.

El grupo APT33, reconocido en el mundo del cibercrimen, está detrás de este ataque, el cual tiene capacidades limitadas, entre las que incluye descargar desde su centro de comando malware adicional para seguir infectando aún más sus víctimas. Para esto se utilizan múltiples dominios para formar una red de bots los cuales se alojan en servidores proxy en la nube. Este grupo de hackers usan sus redes VPN para emitir comandos a los bots y así tratar de encubrir sus actividades.

De acuerdo a la investigación de Trend Micro, aunque las conexiones de redes privadas VPN se pueden abrir con aplicaciones como OpenVPN, y estas provienen de direcciones IP no relacionadas de todo el mundo, este tipo de tráfico es relativamente fácil de rastrear. Una vez que sabemos que un nodo de salida está siendo utilizado, podemos tener un alto grado de confianza sobre la atribución de las conexiones que se realizan desde las direcciones IP del nodo de salida.

Se recomienda lo siguiente:

• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar instalar programas de sitios que no sean oficiales.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.