Los investigadores de ciberseguridad han revelado detalles de un grupo de amenazas persistentes avanzadas (APT) denominado Dragón plateado que se ha relacionado con ciberataques dirigidos a entidades de Europa y el sudeste asiático desde al menos mediados de 2024.

«Silver Dragon obtiene su acceso inicial explotando servidores de Internet públicos y enviando correos electrónicos de suplantación de identidad que contienen archivos adjuntos maliciosos», dijo Check Point dijo en un informe técnico. «Para mantener la persistencia, el grupo secuestra los servicios legítimos de Windows, lo que permite que los procesos del malware se mezclen con la actividad normal del sistema».

Se estima que Silver Dragon opera dentro del Paraguas APT41 . APT41 es el criptónimo asignado a un prolífico grupo de hackers chino conocido por sus ataques de ciberespionaje contra los sectores de la salud, las telecomunicaciones, la alta tecnología, la educación, los servicios de viajes y los medios de comunicación con fines de ciberespionaje. También se cree que se dedica a actividades con motivaciones financieras que podrían estar fuera del control estatal.

Se ha descubierto que los ataques organizados por Silver Dragon se centran principalmente en entidades gubernamentales, y el adversario utiliza balizas Cobalt Strike para persistir en los anfitriones comprometidos. También se sabe que emplea técnicas como la tunelización de DNS para comunicarse mediante comando y control (C2) para eludir la detección.

Check Point dijo que identificó tres cadenas de infección diferentes para transmitir Cobalt Strike: Secuestro de AppDomain , DLL de servicio y suplantación de identidad basada en correo electrónico.

adsense

«Las dos primeras cadenas de infección, el secuestro de AppDomain y Service DLL, muestran una clara superposición operativa», afirma la empresa de ciberseguridad. «Ambas se distribuyen en archivos comprimidos, lo que sugiere su uso en situaciones posteriores a la explotación. En varios casos, estas cadenas se implementaron tras poner en peligro servidores vulnerables expuestos al público».

Las dos cadenas utilizan un archivo RAR que contiene un script por lotes, y la primera cadena lo usa para eliminar MonikerLoader, un cargador basado en la red responsable de descifrar y ejecutar una segunda etapa directamente en la memoria. La segunda fase, por su parte, imita el comportamiento de MonikerLoader y actúa como conducto para cargar la carga útil final de la baliza de Cobalt Strike.

Por otro lado, la cadena de DLL de servicios utiliza un script por lotes para entregar un cargador de DLL de código de shell denominado BamboLoader, que está registrado como un servicio de Windows. Se trata de un malware de C++ muy confuso que se utiliza para descifrar y descomprimir el código de shell almacenado en el disco e inyectarlo en un proceso legítimo de Windows, como «taskhost.exe». El binario destinado a ser inyectado se puede configurar en BamboLoader.

La tercera cadena de infección consiste en una campaña de suplantación de identidad dirigida principalmente a Uzbekistán con atajos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK, convertido en arma, está diseñado para lanzar código de PowerShell mediante "cmd.exe «, lo que permite extraer y ejecutar las cargas útiles de la siguiente etapa. Esto incluye cuatro archivos diferentes:

  • Documento señuelo
  • Ejecutable legítimo vulnerable a la carga lateral de DLL (» GameHook.exe «)
  • DLL maliciosa también conocida como BamboLoader (» graphics-hook-filter64.dll «)
  • Carga útil cifrada de Cobalt Strike (» simhei.dat «)

Como parte de esta campaña, el documento señuelo se muestra a la víctima y, en segundo plano, la DLL falsa se descarga de forma lateral a través de "GameHook.exe" para, finalmente, lanzar Cobalt Strike. Los ataques también se caracterizan por el despliegue de varias herramientas posteriores a la explotación:

  • Pantalla plateada , una herramienta de supervisión de pantalla.NET que se utiliza para capturar capturas de pantalla periódicas de la actividad del usuario, incluida la posición precisa del cursor.
  • SSH CMD , una utilidad SSH de línea de comandos de.NET que proporciona funciones de ejecución remota de comandos y transferencia de archivos a través de SSH.
  • Puerta de engranajes , una puerta trasera NET que comparte similitudes con MonikerLoader y se comunica con su infraestructura C2 a través de Google Drive.
enlaces

Una vez ejecutada, la puerta trasera se autentica en la cuenta de Google Drive controlada por el atacante y carga un archivo de latidos que contiene información básica del sistema. Curiosamente, el backdoor utiliza diferentes extensiones de archivo para indicar la naturaleza de la tarea que se va a realizar en el host infectado. Los resultados de la ejecución de la tarea se capturan y se cargan en Drive.

  • *.png , para enviar archivos de latidos.
  • *.pdf , para recibir y ejecutar comandos, mostrar el contenido de un directorio, crear uno nuevo y eliminar todos los archivos de un directorio especificado. Los resultados de la operación se envían al servidor en forma de archivo *.db.
  • *.cabina , para recibir y ejecutar comandos para recopilar información sobre el host y una lista de los procesos en ejecución, enumerar archivos y directorios, ejecutar comandos a través de "cmd.exe" o tareas programadas, subir archivos a Google Drive y terminar el implante. El estado de ejecución se carga como un archivo.bak.
  • *.rar , para recibir y ejecutar cargas útiles. Si el archivo RAR se llama "wiatrace.bak», la puerta trasera lo trata como un paquete de actualización automática. Los resultados se cargan como archivos.bak.
  • *.7 z , para recibir y ejecutar complementos en la memoria. Los resultados se cargan como archivos.bak.

Los vínculos de Silver Dragon con el APT41 se deben a la superposición de naves con scripts de instalación posteriores a la explotación anteriormente atribuido a este último y el hecho de que el mecanismo de descifrado utilizado por BamboLoader se haya observado en los cargadores de códigos de shell vinculados a la actividad de APT entre China y Nexus.

«El grupo evoluciona continuamente sus herramientas y técnicas, probando e implementando activamente nuevas capacidades en diferentes campañas», dijo Check Point. «El uso de diversas vulnerabilidades, cargadores personalizados y sofisticadas comunicaciones C2 basadas en archivos refleja la existencia de un grupo de amenazas adaptable y con recursos suficientes».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.