Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado atacando infraestructuras críticas de telecomunicaciones en Sudamérica desde 2024, atacando sistemas Windows y Linux y dispositivos periféricos con tres implantes diferentes.

La actividad está siendo rastreado de Cisco Talos bajo el seudónimo UAT-9244 , describiéndolo como estrechamente asociado con otro grupo conocido como Gorrión famoso .

Vale la pena señalar que FamousSparrow es evaluado por compartir superposiciones tácticas con Tifón salino , un grupo de espionaje vinculado con China conocido por atacar a los proveedores de servicios de telecomunicaciones. A pesar de que el UAT-9244 y Salt Typhoon tenían objetivos similares, no hay pruebas concluyentes que vinculen a los dos grupos.

En la campaña analizada por la empresa de ciberseguridad, se descubrió que las cadenas de ataque distribuyen tres implantes previamente indocumentados: TernDoor, dirigido a Windows, PeerTime (también conocido como angrypeer), dirigido a Linux, y BruteEntry, que se instala en dispositivos periféricos de la red.

adsense

Se desconoce el método exacto de acceso inicial utilizado en los ataques, aunque el adversario ya había atacado sistemas que ejecutaban versiones desactualizadas de Windows Server y Microsoft Exchange Server para lanzar webshells para realizar actividades de seguimiento.

TernDoor se implementa mediante la carga lateral de DLL, aprovechando el ejecutable legítimo "wsprint.exe" para lanzar una DLL no autorizada (» BugSplatRc64.dll «) que descifra y ejecuta la carga útil final en la memoria. Una variante de Crowdoor (en sí misma una variante de SparrowDoor), se dice que el UAT-9244 utilizó la puerta trasera al menos desde noviembre de 2024.

Establece la persistencia en el host mediante una tarea programada o la clave Registry Run. También presenta diferencias con CrowDoor al utilizar un conjunto dispar de códigos de comando e incorporar un controlador de Windows para suspender, reanudar y terminar los procesos. Además, solo admite un conmutador de línea de comandos («-u») para desinstalarse del host y eliminar todos los artefactos asociados.

Una vez lanzado, ejecuta una comprobación para asegurarse de que se ha inyectado en "msiexec.exe», tras lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Posteriormente, establece la comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer y escribir archivos, recopilar información del sistema e implementar el controlador para ocultar los componentes maliciosos y administrar los procesos.

Un análisis más detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de un backdoor Linux peer-to-peer (P2P) denominado PeerTime, que está compilado para varias arquitecturas (es decir, ARM, AARCH, PPC y MIPS) con el fin de infectar una variedad de sistemas embebidos. El backdoor ELF, junto con un instrumento binario, se despliega mediante un script shell.

«El binario ELF del instrumento comprobará la presencia de Docker en el host comprometido mediante los comandos docker y docker —q», afirman los investigadores de Talos, Asheer Malhotra y Brandon White. «Si se encuentra Docker, se ejecuta el cargador de PeerTime. El instrumento consiste en cadenas de depuración en chino simplificado, lo que indica que se trata de un binario personalizado creado e implementado por agentes de amenazas de habla china».

enlaces

El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una versión escrita en C/C++ y una variante más reciente programada en Rust. Además de poder renombrarse a sí mismo como un proceso inofensivo para eludir la detección, el backdoor emplea el protocolo BitTorrent para obtener información de C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.

Los servidores del actor de amenazas también incluyen un conjunto de scripts de shell y cargas útiles, incluido un escáner de fuerza bruta con el nombre en código BruteEntry que se instala en los dispositivos periféricos para convertirlos en nodos proxy de escaneo masivo dentro de una caja de retransmisión operativa (ORB) capaz de forzar brutamente los servidores Postgres, SSH y Tomcat.

Esto se logra mediante un script de shell que elimina dos componentes basados en Golang: un orquestador que entrega BruteEntry, que luego se pone en contacto con un servidor C2 para obtener la lista de direcciones IP a las que se dirigirán para realizar ataques de fuerza bruta. En última instancia, la puerta trasera informa sobre los inicios de sesión correctos en el servidor C2.

«'Éxito' indica si la fuerza bruta tuvo éxito (verdadero o falso), y 'notas' proporciona información específica sobre si la fuerza bruta tuvo éxito», dijo Talos. «Si el inicio de sesión ha fallado, la nota dice: «Se han probado todas las credenciales».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.