Poco después de que Mandiant publicara su informe
sobre la campaña china APT1, los expertos observaron que los
ciberdelincuentes empezaron a enviar mensajes de correo electrónico
malintencionados que aprovechaban la noticia.
Los expertos de Seculert identificaron ataques de spear-phishing contra periodistas chinos y japoneses, en los cuales se utilizaban falsos informes de Mandiant.
Después de analizar el malware utilizado en los ataques contra los periodistas japoneses, los investigadores de Seculert han notado que el elemento malicioso está diseñado como una "bomba de tiempo". Ha sido programado para activarse sólo durante un determinado período de tiempo.
En la mayoría de los casos, el malware está configurado para comunicarse con sitios web legítimos de Japón, pero el martes, entre las 8 y 19, se comunica con un dominio de comando y control (C&C) adicional, a saber, expires.ddn.dynssl.com.
En este intervalo relativamente corto, el malware descarga componentes maliciosos adicionales, preparando el escenario para una nueva fase del ataque.
Cabe destacar que la IP de expires.ddn.dynssl.com lleva a un servidor ubicado en Corea, pero ddn.dnyssl.com lleva a uno situado en China, particularmente a una región vinculada a otras campañas de ciberdelincuencia.
En este caso, el dominio de C&C fue suspendido antes de que se activara la "bomba".
Los expertos de Seculert identificaron ataques de spear-phishing contra periodistas chinos y japoneses, en los cuales se utilizaban falsos informes de Mandiant.
Después de analizar el malware utilizado en los ataques contra los periodistas japoneses, los investigadores de Seculert han notado que el elemento malicioso está diseñado como una "bomba de tiempo". Ha sido programado para activarse sólo durante un determinado período de tiempo.
En la mayoría de los casos, el malware está configurado para comunicarse con sitios web legítimos de Japón, pero el martes, entre las 8 y 19, se comunica con un dominio de comando y control (C&C) adicional, a saber, expires.ddn.dynssl.com.
En este intervalo relativamente corto, el malware descarga componentes maliciosos adicionales, preparando el escenario para una nueva fase del ataque.
Cabe destacar que la IP de expires.ddn.dynssl.com lleva a un servidor ubicado en Corea, pero ddn.dnyssl.com lleva a uno situado en China, particularmente a una región vinculada a otras campañas de ciberdelincuencia.
En este caso, el dominio de C&C fue suspendido antes de que se activara la "bomba".
Fuente: Softpedia
No hay comentarios:
Publicar un comentario