Investigadores de ciberseguridad de Facebook vincularon formalmente hoy las actividades de un actor de amenazas vietnamita con una empresa de TI en el país después de que el grupo fuera descubierto abusando de su plataforma para piratear las cuentas de las personas y distribuir malware.
Rastreados como APT32 (o Bismuth, OceanLotus y Cobalt Kitty), los operativos alineados con el estado afiliados al gobierno de Vietnam son conocidos por orquestar sofisticadas campañas de espionaje al menos desde 2012 con el objetivo de promover los intereses estratégicos del país.
«Nuestra investigación vinculó esta actividad con CyberOne Group, una empresa de TI en Vietnam (también conocida como CyberOne Security, CyberOne Technologies, Hành Tinh Company Limited, Planet y Diacauso)», dijo el director de política de seguridad de Facebook, Nathaniel Gleicher, y Cyber Threat Intelligence Manager , Mike Dvilyanski, dijo .
No se reveló el rastro de evidencia exacta que llevó a Facebook a atribuir la actividad de piratería a CyberOne Group, pero según una descripción en ITViec , una plataforma en línea vietnamita para encontrar y publicar vacantes de trabajo para profesionales de TI y desarrolladores de software, la compañía se anuncia como una «multinacional empresa «con un enfoque en el desarrollo» de productos y servicios para garantizar la seguridad de los sistemas de TI de organizaciones y negocios.
Como informó Reuters anteriormente, su sitio web parece haber sido desconectado. Sin embargo, una instantánea capturada por Internet Archive el 9 de diciembre muestra que la compañía había estado buscando activamente contratar probadores de penetración, cazadores de amenazas cibernéticas y analistas de malware con competencia en Linux, C, C ++ y .NET.
CyberOne, en un comunicado a Reuters, también negó que fuera el grupo OceanLotus.
Larga historia de ataques de APT32
El desenmascaramiento de APT32 por parte de Facebook se produce meses después de que Volexity revelara múltiples campañas de ataque lanzadas a través de múltiples sitios web falsos y páginas de Facebook para perfilar usuarios, redirigir a los visitantes a páginas de phishing y distribuir cargas útiles de malware para Windows y macOS.
Además, ESET informó sobre una operación similar que se extendió a través de la plataforma de redes sociales en diciembre de 2019, utilizando publicaciones y mensajes directos que contienen enlaces a un archivo malicioso alojado en Dropbox.
El grupo es conocido por sus conjuntos de herramientas y señuelos en evolución, incluido el uso de documentos de señuelo y ataques de abrevadero para atraer a las víctimas potenciales a ejecutar una puerta trasera con todas las funciones capaz de robar información confidencial.
OceanLotus ganó notoriedad a principios del año pasado por su agresiva orientación a las empresas automotrices multinacionales en un intento por respaldar los objetivos de fabricación de vehículos del país.
Durante el apogeo de la pandemia de COVID-19, APT32 llevó a cabo campañas de intrusión contra objetivos chinos, incluido el Ministerio de Gestión de Emergencias, con la intención de recopilar inteligencia sobre la crisis de COVID-19.
El mes pasado, los investigadores de Trend Micro descubrieron una nueva campaña que aprovecha una nueva puerta trasera de macOS que permite a los atacantes espiar y robar información confidencial y documentos comerciales confidenciales de las máquinas infectadas.
Luego, hace dos semanas, Microsoft detalló una táctica de OceanLotus que implicaba el uso de técnicas de minería de monedas para permanecer fuera del radar y establecer la persistencia en los sistemas de las víctimas, lo que dificulta la distinción entre los delitos motivados financieramente y las operaciones de recopilación de inteligencia.
Ingeniería social a través de Facebook
Ahora, según Facebook, APT32 creó personajes ficticios, haciéndose pasar por activistas y entidades comerciales, y usó señuelos románticos para llegar a sus objetivos, y finalmente los engañó para que descargaran aplicaciones de Android falsas a través de Google Play Store que venían con una amplia gama de permisos para permitir amplia vigilancia de los dispositivos de las personas.
«La última actividad que investigamos e interrumpimos tiene el sello distintivo de una operación persistente y con buenos recursos que se enfoca en muchos objetivos a la vez, mientras que confunde su origen», dijeron los investigadores. «Para interrumpir esta operación, bloqueamos la publicación de dominios asociados en nuestra plataforma, eliminamos las cuentas del grupo y notificamos a las personas que creemos que fueron atacadas por APT32».
En un desarrollo separado, Facebook dijo que también interrumpió un grupo con sede en Bangladesh que atacó a activistas locales, periodistas y minorías religiosas, para comprometer sus cuentas y amplificar su contenido.
«Nuestra investigación vinculó esta actividad con dos organizaciones sin fines de lucro en Bangladesh: Don’s Team (también conocido como Defense of Nation) y la Crime Research and Analysis Foundation (CRAF). Parecían estar operando a través de varios servicios de Internet».
Vía: The Hacker News
