Un grupo de amenazas previamente indocumentado y alineado con China, denominado LongnosedGoblin, se ha atribuido a una serie de ciberataques dirigidos a entidades gubernamentales en el sudeste asiático y Japón.
El objetivo final de estos ataques es el ciberespionaje, afirmó la empresa eslovaca de ciberseguridad ESET en un informe publicado hoy. Se ha determinado que el clúster de actividades de amenazas está activo al menos desde septiembre de 2023.
«LongNosedGoblin usa la política de grupo para implementar malware en la red comprometida y los servicios en la nube (por ejemplo, Microsoft OneDrive y Google Drive) como servidores de comando y control (C&C)», dijeron los investigadores de seguridad Anton Cherepanov y Peter Strýček dijo .
Política de grupo es un mecanismo para administrar la configuración y los permisos en las máquinas Windows. Según Microsoft, la política de grupo se puede usar para definir configuraciones para grupos de usuarios y computadoras cliente, así como para administrar computadoras servidor.
Los ataques se caracterizan por el uso de un variado conjunto de herramientas personalizadas que consiste principalmente en aplicaciones C#/.NET -
- NosyHistorian, para recopilar el historial del navegador de Google Chrome, Microsoft Edge y Mozilla Firefox
- NosyDoor, una puerta trasera que usa Microsoft OneDrive como C&C y ejecuta comandos que le permiten filtrar archivos, eliminar archivos y ejecutar comandos de shell
- NoSyStealer, para filtrar los datos del navegador de Google Chrome y Microsoft Edge a Google Drive en forma de un archivo TAR cifrado
- NosyDownloader, para descargar y ejecutar una carga útil en la memoria, como NosyLogger
- NoSyLogger, una versión modificada de Duck Sharp que se usa para registrar las pulsaciones de teclas
|
| Cadena de ejecución de NosyDoor |
ESET dijo que detectó por primera vez la actividad asociada con el grupo de piratas informáticos en febrero de 2024 en un sistema de una entidad gubernamental en el sudeste asiático, y finalmente descubrió que la política de grupo se utilizaba para enviar el malware a varios sistemas de la misma organización. Actualmente se desconocen los métodos exactos de acceso inicial utilizados en los ataques.
Un análisis más detallado ha determinado que, si bien muchas víctimas se vieron afectadas por NosyHistorian entre enero y marzo de 2024, solo un subconjunto de estas víctimas se infectó con NosyDoor, lo que indica un enfoque más específico. En algunos casos, el gotero se utiliza para abrir la puerta trasera utilizando Inyección de AppDomainManager se ha descubierto que contiene «barreras de protección de ejecución» diseñadas para limitar el funcionamiento a las máquinas de víctimas específicas.
LongNosedGoblin también emplea otras herramientas como un proxy SOCKS5 inverso, una utilidad que se utiliza para ejecutar una grabadora de vídeo para capturar audio y vídeo, y un cargador Cobalt Strike.
La empresa de ciberseguridad señaló que el oficio del actor de amenazas comparte tenues superposiciones con los clústeres rastreados como Gato pequeño y Erudito Mogwai , pero hizo hincapié en la falta de pruebas definitivas que los vincularan. Dicho esto, las similitudes entre NosyDoor y Agente de Lucky Strike y la presencia de la frase «Versión de pago» en la ruta PDB de LuckyStrike Agent han planteado la posibilidad de que el malware se venda o licencie a otros actores de amenazas.
«Posteriormente, identificamos otro caso de una variante de NosyDoor dirigida a una organización de un país de la UE, que una vez más empleaba diferentes TTP y utilizaba el servicio en la nube Yandex Disk como servidor de control y control», señalaron los investigadores. «El uso de esta variante de NosyDoor sugiere que el malware podría compartirse entre varios grupos de amenazas alineados con China».