- Google revela GTIG UNC6508, un grupo vinculado a la República Popular China que explota servidores REDCap con malware INFINITERED personalizado
- Los atacantes robaron credenciales, extrajeron datos confidenciales mediante reglas de consentimiento manipuladas y los ocultaron durante más de un año.
- Deshabilite la cuenta de Gmail asociada a la campaña; Se insta a los administradores a implementar MFA resistente al phishing, sesiones vinculadas a dispositivos y seguridad avanzada.
Durante más de un año, los actores de amenazas patrocinados por el Estado chino han estado infiltrándose en los servidores de organizaciones de investigación académica, médica y militar de América del Norte, instalando malware a medida y extrayendo archivos confidenciales, advirtieron los expertos.
El Google Threat Intelligence Group (GTIG) publicó un nuevo informe que detalla el trabajo reciente de UNC6508, un actor de amenazas nexo con la República Popular China (PRC), que supuestamente logró explotar externamente los servidores de captura electrónica de datos de investigación (REDCap) para implementar una pieza personalizada de malware llamada INFINITER.
Con este malware roban las credenciales de inicio de sesión, lo que les permite acceder al contenido del servidor y permanecer sin ser detectados durante más de un año. Luego se mueven lateralmente a través de la red, extrayendo datos confidenciales utilizando una técnica novedosa de manipulación de las reglas de cumplimiento del contenido del dominio.
“Patrón”
Google dice que las reglas de cumplimiento de contenido son una “característica válida en muchas suites de productividad empresarial basadas en la nube actuales”. Utilizando cuentas de administrador, los atacantes crearon reglas específicas para manejar mensajes de correo electrónico que contenían palabras, frases y patrones de texto predefinidos coincidentes.
Llamaron a la regla “Patroit” y le asignaron la tarea de reenviar ciertos correos electrónicos a direcciones de Gmail controladas por actores de BCC.
Desde entonces, Google ha desactivado este actor de amenazas y las cuentas de Gmail asociadas con esta campaña.
En el blog, los investigadores dieron una lista bastante extensa de cosas que los administradores pueden hacer para garantizar que estén a salvo de UNC6508 y actores similares, incluida la autenticación de dos factores antiphishing, la inscripción de cuentas altamente confidenciales en programas de seguridad mejorados y la prevención del robo de cookies de cuentas de crédito de dispositivos con CAA.
“La campaña está dirigida a un conjunto de diferentes organizaciones médicas nacionales, estatales y privadas”, afirmó Google. “Estas organizaciones incluyen proveedores clínicos de renombre mundial, centros académicos de primer nivel, instituciones de salud militares de América del Norte, grupos de defensa profesional y agencias reguladoras de la salud”.
“Sus áreas de investigación abarcan un amplio espectro de la medicina moderna, desde el descubrimiento molecular y los ensayos clínicos de fármacos hasta la política de salud pública a nivel estatal y la preparación militar. Emplean a miles de personas con un presupuesto de investigación combinado de miles de millones de dólares”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
