Investigadores de seguridad cibernética del Threat Intelligence Group de Infoblox encontraron un nuevo troyano de acceso remoto (RAT) que acecha en las redes corporativas de todo el mundo y afirman que ha estado operando en secreto durante aproximadamente un año.
Los investigadores llamaron a RAT Pupy y pudieron rastrear su conjunto de herramientas hasta Rusia, y ahora creen que un atacante patrocinado por el estado está detrás de la campaña.
En un comunicado de prensa, los investigadores de Infoblox dijeron que encontraron una amenaza de seguridad crítica que se comunica con un malware (se abre en una pestaña nueva) kit de herramientas denominado «Perro señuelo».
IP rusa
Este conjunto de herramientas se comunica con una IP rusa y se dirige a organizaciones de todo el mundo: EE. UU., Europa, América del Sur y Asia. Las empresas a las que se dirige esta nueva RAT incluyen las de tecnología, salud, energía, finanzas y otros sectores.
La RAT «no es una amenaza genérica para dispositivos de consumo», principalmente debido a lo difícil que era detectar cualquier actividad en los puntos finales comprometidos.
«Esta comunicación C2 fue muy difícil de encontrar, debido a una pequeña cantidad de consultas de datos en un gran grupo de datos de DNS», afirman los investigadores. “Esta RAT usa DNS como un canal C2 a través del cual el actor malicioso tiene el control de los dispositivos internos”.
Pupy es un proyecto de código abierto, afirman además los investigadores, diciendo que ha sido «asociado consistentemente» con actores del estado-nación.
La identidad de los atacantes, así como la naturaleza del compromiso, se desconoce en este momento, dijo Infoblox, y agregó que actualmente también está trabajando con otros proveedores de ciberseguridad para descubrir estos detalles.
“Las organizaciones con DNS protector pueden bloquear estos dominios inmediatamente, mitigando su riesgo mientras continúan investigando más”, concluye el informe. Aquí hay una lista de dominios C2 que deben bloquearse para mitigar los riesgos potenciales
- claudfront[.]neto
- listado permitido[.]neto
- atlas-upd[.]com
- anuncios-tm-glb[.]hacer clic
- cbox4[.]lista de ignorados[.]com
- hsdps[.]CC
- Aquí están los mejores cortafuegos (se abre en una pestaña nueva) alrededor para mantenerte a salvo