- El grupo de atacantes PittyTiger utiliza una variedad de malware y herramientas y aprovecha la ingeniería social para enviar emails spearphish y presentar páginas web falsas.
FireEye, Inc., líder en frenar los ciberataques avanzados de hoy en día, ha dado a conocer un reciente informe que documenta un grupo de atacantes conocidos como «PittyTiger» que parece haber estado activo desde al menos 2011. La compañía ha monitoreado las actividades de este grupo y cree que también ellos están operando desde China, sin embargo, estos puede haber estado operando desde 2008.
Este grupo aprovecha la ingeniería social para enviar emails spearphish y presentar páginas web falsas a sus objetivos. Los atacantes utilizan una variedad de malware y herramientas con el fin de mantener comando y control y se mueven lateralmente a través de las redes de sus objetivos.
En un reciente ataque contra una empresa francesa, los atacantes enviaron mensajes sencillos y directos en francés e inglés desde direcciones gratuitas de correo electrónico utilizando los nombres de empleados actuales de las empresas que tenían como objetivo.
FireEye también ha observado a este grupo utilizando un kit de phishing de correo electrónico de Yahoo!, con las páginas de phishing para múltiples regiones y en varios idiomas.
Los documentos maliciosos aprovechan versiones vulnerables de Microsoft Office. Los atacantes utilizaron dos vulnerabilidades diferentes: CVE-2012-0158 y CVE-2014-1761. Los documentos que vulneran con CVE-2012-0158 parecen haber sido construidos utilizando una herramienta que deja los metadatos que indican que el autor es «Tran Duy Linh». (Este constructor se ha compartido a través de múltiples grupos de amenazas que de otra manera serían inconexos).
El segundo constructor, conocido como Jdoc, se utiliza para crear documentos que vulneran con CVE-2014-1761. Ambos constructores son también utilizados por una variedad de grupos de amenaza que de otro modo no tendrían conexión.
El constructor Jdoc permite al atacante especificar el ejecutable que se lanza después de la explotación, así como un documento de «señuelo» que se abre después de la explotación, de manera que el objetivo no sospecha se ha producido algo malicioso.
Este grupo de amenaza utiliza un malware de primera fase conocido como Backdoor.APT.Pgift (también conocido como Troj/ReRol.A) que se lanza a través de documentos maliciosos y se conecta de nuevo a C2. Este malware comunica alguna información sobre el equipo afectado, sin embargo, su función principal es entregar un malware de segunda fase en el ordenador comprometido.
Dejar una respuesta