Agent.BTZ, una APT analizada en el último informe del CCN-CERT

El CCN-CERT ha publicado en la parte privada del portal (de acceso restringido a los miembros de su Comunidad) el Informe de Código Dañino CCN-CERT ID-06/15 Agent.BTZ. El documento recoge el análisis de una amenaza persistente avanzada (APT) conocida como “Agent.BTZ” (clasificación otorgada por F-Secure, Inc.) que utiliza habitualmente dispositivos de almacenamiento extraibles (USB) como método de propagación.


La amenaza persistente avanzada se encuentra activa desde el año 2007 y se ha especializado en el robo de información clasificada, principalmente de Organismos Públicos, incluso de redes o equipos no conectados directamente a Internet. Existe un elevado número de variantes y, según expertos de seguridad, España ha sido uno de los países más atacados.

El informe recoge, entre otras, las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas (propagación y tipos de instrucciones)
  • Cifrado y ofuscación
  • Permanencia en el sistema
  • Conexiones de red
  • Ficheros relacionados
  • Detección
  • Desinfección
  • Información del atacante
  • Reglas de detección, incluyendo un Indicador de Compromiso (IoC)

Puede acceder al informe en la sección de Informes de Código Dañino del portal.

 

Ministerio de Defensa
CNI
CCN
CCN-CERT