Campaña de Espionaje Económico por TA413

[post-views]
septiembre 07, 2020 · 2 min de lectura
Campaña de Espionaje Económico por TA413

El uso de señuelos relacionados con el COVID19 ya se percibe como una práctica común tanto entre los grupos motivados financieramente como entre las unidades de ciberespionaje patrocinadas por el estado. Los investigadores publicaron un informe la semana pasada sobre otro grupo que ha estado utilizando correos electrónicos de phishing temáticos del COVID19 durante seis meses para entregar su nueva herramienta. Sí, estamos hablando del grupo APT chino conocido como TA413, que se especializa en campañas de espionaje económico dirigidas a organizaciones de investigación de políticas sin fines de lucro, cuerpos diplomáticos y legislativos europeos, y organizaciones globales que se ocupan de asuntos económicos.

Los adversarios utilizan un malware personalizado llamado Sepulcher, y hasta ahora este es el único actor de amenazas que lo utiliza, pero dada la práctica generalizada entre los grupos chinos de compartir sus herramientas, después de la publicación del informe, este malware puede aparecer en el arsenal de otros grupos APT también. Sepulcher es un troyano de acceso remoto capaz de llevar a cabo tareas de reconocimiento: obtener información sobre los discos, información de archivos, estadísticas de directorios, rutas de directorios, contenido de directorios, procesos en ejecución y servicios. También puede crear directorios, eliminar directorios y archivos, generar una shell para ejecutar comandos, terminar un proceso, y más.

La regla de caza de amenazas publicada por Osman Demir detecta actividades maliciosas de TA413 y el malware Sepulcher utilizado por el grupo en campañas de ciberespionaje:

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Acceso Inicial, Persistencia, Escalamiento de Privilegios

Técnicas: Nuevo Servicio (Е1050), Spearphishing con Adjunto (T1193)


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad TDM.

 

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Telychko
Todas las noticias