Los grupos de hackers patrocinados por estados-nación representan una de las mayores amenazas para gobiernos, organizaciones y ciudadanos alrededor del mundo. Entre estos actores de amenazas, ScarCruft, también conocido como APT37 (Advanced Persistent Threat 37), ha emergido como un protagonista notable por su sofisticación, técnicas avanzadas y objetivos estratégicos. En este artículo desglosaremos quién es ScarCruft APT37, sus tácticas, técnicas y procedimientos (TTPs), y por qué es crucial entender su modus operandi para la ciberseguridad global.
¿Quién es ScarCruft APT37?
ScarCruft, también conocido como APT37 es un grupo de ciberespionaje altamente sofisticado, presuntamente patrocinado por un estado-nación, que ha estado activo desde al menos 2012. Aunque las investigaciones sugieren fuertemente su origen en Corea del Norte, el grupo opera con una agenda que trasciende las fronteras nacionales, apuntando a organizaciones y gobiernos que se perciben como amenazas o intereses contrarios a los de su patrocinador. Su principal objetivo ha sido la recopilación de inteligencia, espionaje y robo de información sensible.
Los objetivos principales de ScarCruft se centran en entidades gubernamentales, organismos militares y sectores que son de interés estratégico para Corea del Norte.
A través de técnicas como los ataques de watering hole y el uso de exploits avanzados, ScarCruft logra penetrar en los sistemas para implantar backdoors (puertas traseras) y efectuar labores de reconocimiento. Este grupo se destaca por su innovación en la creación de malware y por experimentar con diferentes métodos de infección, frecuentemente recurriendo a documentos trampa que se relacionan con actividades de otros grupos vinculados a Corea del Norte.
ScarCruft lleva a cabo operaciones en diversos países, incluidos Rusia, Nepal y China, apoyándose en exploits de día cero y tácticas de phishing, que constituyen el núcleo de sus complejas estrategias de ataque.
En un proceso de continua evolución, ScarCruft refina sus técnicas, empleando, por ejemplo, archivos CHM (Compiled HTML Help files) de Microsoft, explorando nuevos tipos de archivos y avanzando en sus métodos para evitar ser detectados.
Te podrá interesar leer: Predicciones de Amenazas APT para 2024
¿Cómo ejecuta sus ataques ScarCruft/APT37?
ScarCruft despliega una variedad de estrategias para instalar sus backdoors, incluyendo tácticas de phishing y compromisos estratégicos de sitios web. Utilizan vulnerabilidades zero-day para lanzar ataques avanzados y son conocidos por sus ataques de watering hole, donde comprometen páginas web frecuentadas por sus objetivos para diseminar backdoors mediante código malicioso.
Una herramienta destacada en su arsenal es el malware Dolphin, una backdoor que proporciona capacidades extensivas de espionaje, incluyendo monitoreo de dispositivos, extracción de archivos, registro de pulsaciones de teclas, captura de pantallas y robo de credenciales de navegadores.
APT37 también ha utilizado una herramienta maliciosa llamada BLUELIGHT, desplegada en un ataque de watering hole contra un medio de comunicación digital en Corea del Sur. El grupo experimenta con métodos de distribución de malware, como archivos LNK pesados para distribuir RokRAT, y recurre a la ingeniería social, engañando a los objetivos a través de phishing para entregar malware.
Lo que diferencia a ScarCruft es su uso de técnicas de auto-decodificación, un enfoque relativamente raro entre los grupos APT, para distribuir malware de manera eficaz. Esta técnica involucra la codificación de un payload malicioso dentro de otro archivo o código para evadir la detección.
Al abrirse el documento o ejecutarse el código, el payload se decodifica y ejecuta de manera dinámica. Adicionalmente, el grupo utiliza canales inusuales para sus operaciones, como sitios de redes sociales y plataformas en la nube, para la comunicación de comando y control (C2).
Las tácticas de ScarCruft se adaptan continuamente, buscando formas innovadoras de sortear las medidas de seguridad y mejorar su eficiencia operativa.
Tácticas utilizadas por este actor de amenazas:
- Spear Phishing: ScarCruft lanza ataques iniciando con correos electrónicos de phishing, usando ingeniería social para persuadir a los usuarios a abrir adjuntos maliciosos y así entregar backdoors.
- Sitios web comprometidos: Utilizan sitios web hackeados para desplegar malware en una segunda fase, mostrando una táctica de ataque en múltiples etapas.
- Redes sociales y plataformas en la nube: Aprovechan las redes sociales y las plataformas en la nube para la comunicación de comando y control (C2), usando canales atípicos para sus operaciones.
- Técnica de auto-decodificación: Destacan por la implementación de técnicas de auto-decodificación, un método poco frecuente entre los grupos APT, para una distribución eficaz del malware.
Conoce más sobre: Ataques de Spear Phishing: ¿Cómo Reconocerlos?
Vulnerabilidades Aprovechadas por ScarCruft / APT37
ScarCruft (APT37) ha capitalizado en múltiples vulnerabilidades durante sus campañas de ciberespionaje. Destacadamente, el grupo se valió de una vulnerabilidad zero-day en JScript 9 (CVE-2022-41128), facilitándoles la infección de sistemas surcoreanos con software malicioso.
Además, el grupo ha recurrido a técnicas de esteganografía para ocultar y distribuir malware, explotando una debilidad en los archivos HWP EPS (Encapsulated PostScript). ScarCruft también ha utilizado vulnerabilidades en Adobe Flash Player, como CVE-2016-4117, para propagar malware mediante ataques de watering hole.
Otro foco de interés para ScarCruft han sido las vulnerabilidades en aplicaciones de Microsoft Office, como Word, las cuales han sido explotadas para diseminar malware a través de documentos manipulados.
Objetivos Geográficos e Industriales de ScarCruft / APT37
Países Objetivo:
Las operaciones de ScarCruft han afectado a múltiples naciones, incluyendo:
- Rusia
- Nepal
- Corea del Sur
- China
- India
- Kuwait
- Rumania
Estos países han reportado incidentes y actividades asociadas a ScarCruft, evidenciando ataques específicos. Es importante destacar que, aunque el foco principal de ScarCruft parece ser Corea del Sur, el grupo también dirige sus esfuerzos hacia otras naciones y organizaciones en Asia que presentan interés para Corea del Norte.
También te podrá interesar: DarkCasino: Descubriendo la Nueva Amenaza APT
Recomendaciones: ¿Cómo protegerse de ScarCruft?
Para salvaguardarse de ScarCruft (APT37) y reducir el riesgo que sus actividades de espionaje representan, se sugieren las siguientes medidas:
- Mantén tu Software Actualizado: Es crucial que actualices regularmente tus sistemas operativos, aplicaciones y parches de seguridad para corregir vulnerabilidades conocidas. Ten en cuenta que APT37 explota activamente fallos zero-day, por lo que estar al día es esencial.
- Implementa Medidas de Seguridad Robustas: Debes establecer soluciones de seguridad sólidas, incluidos firewalls, sistemas de detección de intrusiones y antivirus. Asegúrate de configurar y actualizar estas herramientas regularmente para garantizar una protección efectiva contra amenazas emergentes.
- Habilita la Autenticación Multifactor (MFA): Es crucial que apliques MFA en cuentas y sistemas críticos, agregando una capa adicional de seguridad. Esto es vital para prevenir el acceso no autorizado, incluso si las contraseñas son comprometidas.
- Educa a tus Empleados: Realiza formaciones periódicas sobre seguridad cibernética para enseñar a tus trabajadores a reconocer intentos de phishing, técnicas de ingeniería social y prácticas de navegación segura. ScarCruft inicia frecuentemente ataques mediante correos electrónicos de phishing.
- Monitorea el Tráfico de Red: Es importante que utilices herramientas de monitoreo para detectar actividades sospechosas y anomalías en la red. Esté atento a cualquier indicio de acceso no autorizado, filtraciones de datos o comportamiento anómalo.
- Implementa Controles de Acceso Estrictos: Debes aplicar el principio de privilegio mínimo, restringiendo los derechos de usuario. Limita el acceso a datos y sistemas sensibles solo a aquellos que realmente lo necesiten.
- Realiza Copias de Seguridad Regularmente: Es esencial que mantengas copias de seguridad periódicas de datos críticos y que las almacenes de manera segura. Esto es clave para mitigar el impacto de posibles brechas de datos o ataques de ransomware.
- Desarrolla un Plan de Respuesta a Incidentes: Es fundamental que elabores un plan detallado para responder a incidentes de seguridad, definiendo claramente los procedimientos a seguir en caso de una violación. Esto ayuda a facilitar una reacción rápida y puede minimizar el daño.
Estas recomendaciones constituyen prácticas generales de ciberseguridad que, aunque no contrarrestan exhaustivamente todas las tácticas de APT37, sirven como un buen punto de partida. Para enfrentar las amenazas específicas, las organizaciones deben mantenerse vigilantes e informadas sobre las últimas tendencias en ciberamenazas, aprovechando servicios avanzados como nuestro SOC as a Service para monitorear su superficie de ataque.
Conclusión
ScarCruft APT37 es un recordatorio vívido de la naturaleza cambiante y cada vez más sofisticada de las amenazas cibernéticas en la era digital. Su capacidad para adaptarse y evolucionar sus TTPs para superar las defensas de seguridad representa un desafío constante para los profesionales de la ciberseguridad. La comprensión de estos actores de amenazas y la implementación de estrategias de defensa robustas y adaptativas son esenciales para proteger la información sensible y mantener la integridad de los sistemas informáticos y redes globales.
En última instancia, la lucha contra grupos como ScarCruft requiere una cooperación continua y coordinada entre organizaciones, gobiernos y la comunidad de ciberseguridad en general.