Una supuesta operación de ciberespionaje con sede en China ha tenido como objetivo organizaciones militares del sudeste asiático como parte de una campaña patrocinada por el estado que se remonta al menos a 2020.
La Unidad 42 de Palo Alto Networks está rastreando la actividad de la amenaza bajo el nombre de CL-STA-1087 , donde CL se refiere a clúster y STA significa motivación respaldada por el estado.
«La actividad demostró una paciencia operativa estratégica y un enfoque en la recopilación de inteligencia altamente específica, en lugar del robo masivo de datos», dijeron los investigadores de seguridad Lior Rochberger y Yoav Zemah. «Los atacantes responsables de este grupo buscaron y recopilaron activamente archivos muy específicos sobre las capacidades militares, las estructuras organizativas y los esfuerzos de colaboración con las fuerzas armadas occidentales».
La campaña muestra las características que suelen asociarse con las operaciones de amenazas persistentes avanzadas (APT), que incluyen métodos de entrega cuidadosamente diseñados, estrategias de evasión de la defensa, una infraestructura operativa altamente estable y un despliegue de carga útil personalizado diseñado para permitir el acceso no autorizado sostenido a los sistemas comprometidos.
adsenseLas herramientas utilizadas por el actor de amenazas en la actividad maliciosa incluyen puertas traseras llamadas AppleChris y MemFun, y un recolector de credenciales llamado Getpass.
El proveedor de ciberseguridad dijo que detectó el conjunto de intrusiones tras identificar una ejecución sospechosa de PowerShell, lo que permitió que el script entrara en estado de suspensión durante seis horas y, a continuación, creara capas inversas para un servidor de comando y control (C2) controlado por un actor de amenazas. El vector de acceso inicial exacto utilizado en el ataque sigue sin conocerse.
La secuencia de infección implica el despliegue de AppleChris, cuyas diferentes versiones se colocan en los puntos finales de destino tras un movimiento lateral para mantener la persistencia y evitar la detección basada en firmas. También se ha observado a los actores de la amenaza realizando búsquedas relacionadas con las actas oficiales de las reuniones, las actividades militares conjuntas y las evaluaciones detalladas de las capacidades operativas.
«Los atacantes mostraron un interés particular en los archivos relacionados con las estructuras organizativas y la estrategia militares, incluidos los sistemas de mando, control, comunicaciones, computadoras e inteligencia (C4I)», señalaron los investigadores.
Tanto las variantes de AppleChris como MemFun están diseñadas para acceder a una cuenta compartida de Pastebin, que actúa como solucionador de puntos muertos para obtener la dirección C2 real almacenada en formato decodificado en Base64. Una versión de AppleChris también se basa en Dropbox para extraer la información C2, y se utiliza el enfoque basado en Pastebin como opción alternativa. Las pastas Pastebin se remontan a septiembre de 2020.
Lanzado a través de Secuestro de archivos DLL , AppleChris inicia el contacto con el servidor C2 para recibir comandos que le permiten realizar la enumeración de unidades, la lista de directorios, la carga, descarga y eliminación de archivos, la enumeración de procesos, la ejecución remota de shell y la creación silenciosa de procesos.
La segunda variante del tunelizador representa una evolución de su predecesora, ya que solo utilizaba Pastebin para obtener la dirección C2, además de introducir capacidades avanzadas de proxy de red.
«Para eludir los sistemas de seguridad automatizados, algunas de las variantes de malware emplean tácticas de evasión en entornos aislados durante el tiempo de ejecución», afirma Unit 42. «Estas variantes retrasan la ejecución mediante temporizadores de suspensión de 30 segundos (EXE) y 120 segundos (DLL), lo que supera con creces las ventanas de supervisión típicas de los entornos aislados automatizados».
MemFun se lanza mediante una cadena de varias etapas: un cargador inicial inyecta un shellcode responsable de lanzar un descargador en memoria, cuyo objetivo principal es recuperar los detalles de configuración de C2 de Pastebin, comunicarse con el servidor C2 y obtener una DLL que, a su vez, desencadena la ejecución del backdoor.
Dado que la DLL se obtiene del C2 en tiempo de ejecución, brinda a los actores de amenazas la capacidad de entregar fácilmente otras cargas útiles sin tener que cambiar nada. Este comportamiento transforma a MemFun en una plataforma modular de malware, en lugar de en una puerta trasera estática como AppleChris.
enlacesLa ejecución de MemFun comienza con un cuentagotas que ejecuta comprobaciones antiforenses antes de modificar su propia marca de tiempo de creación de archivos para que coincida con la hora de creación del directorio del sistema de Windows. Posteriormente, inyecta la carga principal en la memoria de un proceso suspendido asociado a "dllhost.exe" mediante una técnica denominada proceso de ahuecamiento .
Al hacerlo, el malware se ejecuta bajo la apariencia de un proceso legítimo de Windows para pasar desapercibido y evitar dejar artefactos adicionales en el disco.
En los ataques también se utiliza una versión personalizada de Mimikatz conocida como Getpass, que aumenta los privilegios e intenta extraer contraseñas en texto plano, hashes NTLM y datos de autenticación directamente de la memoria de proceso "lsass.exe».
«El actor de amenazas detrás del clúster demostró paciencia operativa y conciencia de seguridad», concluyó la Unidad 42. «Mantuvieron el acceso inactivo durante meses y, al mismo tiempo, se centraron en recopilar información de inteligencia con precisión y en implementar sólidas medidas de seguridad operativa para garantizar la longevidad de la campaña».
Fuentes de Información: THEHACKERNEWS