APT36 lanza campaña de Phishing para difundir la RAT Crimson

 Un actor de amenazas vinculado a Pakistán, APT36, ha estado utilizando un aviso de salud señuelo que aprovecha el pánico global en torno a la pandemia de coronavirus para difundir una Herramienta de administración remota (RAT) conocida como Crimson.

 Las funcionalidades de Crimson RAT incluyen el robo de credenciales de los navegadores de las víctimas, la captura de capturas de pantalla, la recopilación de información de software antivirus y el listado de los procesos, unidades y directorios en ejecución de las máquinas de las víctimas.

 El uso de tales capacidades de exfiltración de datos es común para APT36 (también conocido como Transparent Tribe, ProjectM, Mythic Leopard y TEMP.Lapis), activo desde 2016. "APT36 realiza operaciones de ciberespionaje con la intención de recopilar información confidencial que respalde los intereses militares y diplomáticos de Pakistán". 

 Los correos electrónicos de phishing, atribuidos a esta campaña, están tratando de engañar a los objetivos para que habiliten macros para que la carga útil de Crimson RAT pueda implementarse. Este correo electrónico de phishing adjunta un documento macro malicioso que ataca vulnerabilidades en archivos RTF (Rich Text Format), como CVE-2017-0199. Esta es una vulnerabilidad de Microsoft de alta gravedad, que permite que un actor malo ejecute un script de Visual Basic cuando un usuario abre un documento malicioso RTF de Microsoft Office.

Se recomienda lo siguiente:

• La concientización a los usuarios haciendo hincapié que sean cautelosos cuando se les presentan mensajes de correo electrónico y archivos adjuntos con temática contingente, así como enlaces y sitios web que los delincuentes podrían utilizar como señuelos y la existencia de ataques concentrados los días viernes PM y fin de semana cuando la seguridad de las ciberoperaciones disminuye.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Analizar la factibilidad de implementar configuraciones de políticas de seguridad que restrinjan el uso de macros en los documentos de ofimática, capaces de exceptuar aquellas firmadas digitalmente con sus proveedores o colaboradores.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Escanear todos los archivos adjuntos antes de abrirlos, con un antivirus organizacional que detecte algún comportamiento sospechoso.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.