Video Screencast Help
Security Response

Protección de Symantec para Octubre Rojo (Red October)

Created: 16 Jan 2013 20:44:12 GMT • Translations available: English, 日本語
Symantec Security Response's picture
0 0 Votes
Login to vote

Una avanzada red de ciberespionaje dirigida a organizaciones de alto perfil y gobiernos ha sido recientemente descubierta. El método de ataque principal que se utiliza en esta campaña es lo que llamamos spear phishing (ataques dirigidos a través de correo electrónico).

Los correos de spear phishing enviados contienen un documento de Word o archivos adjuntos de hojas de cálculo de Excel que explotan tres vulnerabilidades conocidas con el fin de comprometer las computadoras. Las vulnerabilidades más usadas son:

Otro método de ataque explota la Vulnerabilidad de Oracle Java SE Rhino Script Engine Remote Code Execution  (CVE-2011-3544) y es detectada como:

Este exploit también es bloqueado por nuestras firmas de Prevención de Intrusiones: 

Inicialmente, las muestras de este malware eran detectadas como Backdoor.Trojan. Desde entonces, las hemos dividido en las siguientes detecciones que son más específicas:

Figura 1. Distribución de Backdoor.Rocra

Figura 2. Objetivos por sectores de Backdoor.Rocra

A continuación mostramos un ejemplo del correo de spear phishing asociado con esta campaña y bloqueado por Symantec Mail Security para Microsoft Exchange:

Figura 3. Correo de spear phishing de Backdoor.Rocra con archivo adjunto

Figura 4. Contenido del archivo adjunto malicioso del spear phishing de Backdoor.Rocra

Cabe mencionar que esta no es la primera vez que una campaña de ataque de alto perfil ha utilizado correos electrónicos de spear phishing, como un método popular y es probable que no sea la última. Sin embargo, ahora estamos viendo una mayor adopción de riesgo de ataques de tipo watering hole los cuales se utilizan en las campañas de ataque (comprometiendo ciertos sitios web que pueden ser visitados por la organización a la que se busca atacar).

Aconsejamos a los usuarios asegurarse de que sus sistemas operativos y el software estén actualizados y no hacer clic en enlaces dudosos, además de evitar  abrir archivos adjuntos de correos electrónicos que parezcan sospechosos.

Para obtener más información sobre los ataques de watering hole, puede visitar el blog que hemos preparado  con preguntas y respuestas sobre este tipo de ataques o consultar el informe de Symantec sobre Elderwood Project publicado en 2012.

Más información sobre la campaña Octubre Rojo (Red October), aquí.