Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campaña que ha durado años.
La Unidad 42 de Palo Alto Networks atribuyó la actividad, dirigida a los sectores de la aviación, la energía, el gobierno, la aplicación de la ley, la farmacéutica, la tecnología y las telecomunicaciones, a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068 , donde «CL» se refiere a «grupo» y «UNK» significa motivación desconocida.
Sin embargo, el proveedor de seguridad ha evaluado con «confianza moderada a alta» que el objetivo principal de la campaña es el ciberespionaje.
«Nuestro análisis revela un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y archivos binarios reales (LOLBins)», dijo el investigador de seguridad Tom Fakterman dijo . «Proporcionan a los atacantes una forma sencilla y eficaz de mantener una presencia persistente en los entornos objetivo».
Las herramientas están diseñadas para dirigirse a entornos Windows y Linux, y el adversario depende de una combinación de utilidades de código abierto y familias de malware, como Godzilla , ESPADA HORMIGA , Xnote y Fast Reverse Proxy ( FRP ), todos los cuales han sido utilizados por varios grupos de hackers chinos.
adsenseSi bien tanto Godzilla como ANTSWORD funcionan como consolas web, Xnote es una puerta trasera de Linux que ha sido detectado en estado salvaje desde 2015 y ha sido desplegado por un colectivo de adversarios conocido como Tierra Berberoka (también conocido como Marioneta de juego ) en ataques dirigidos a sitios de juegos de azar en línea.
Las cadenas de ataque típicas implican la explotación de servidores web para entregar webshells y trasladarlos lateralmente a otros hosts, seguidos de intentos de robar archivos que coincidan con determinadas extensiones («web.config», «.aspx», «.asmx», «.asax» y «.dll») del directorio "c:\inetpub\wwwroot" de un servidor web de Windows, probablemente con el fin de robar credenciales o descubrir vulnerabilidades.
Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, los archivos XLSX y CSV de los escritorios y los directorios USER, y los archivos de respaldo de bases de datos (.bak) de los servidores MS-SQL.
En un giro interesante, se ha observado que los actores de amenazas utilizan WinRAR para archivar los archivos relevantes, codifican en Base64 los archivos ejecutando el comando certutil -encode y, a continuación, ejecutan el comando type para imprimir el contenido en Base64 en su pantalla a través del shell web.
«Al codificar los archivos como texto e imprimirlos en la pantalla, los atacantes pudieron filtrar los datos sin tener que subir ningún archivo», dijo Unit 42. «Es probable que los atacantes eligieran este método porque la consola del servidor les permitía ejecutar comandos y ver los resultados, pero no transferir archivos directamente».
Una de las técnicas empleadas en estos ataques es el uso de ejecutables legítimos de Python (» python.exe "y" pythonw.exe «) para lanzar ataques de carga lateral de DLL y ejecutar sigilosamente archivos DLL maliciosos, incluido el FRP para un acceso persistente, Imprimir Spoofer y un escáner personalizado basado en Go llamado ScanPortPlus.
También se dice que el CL-UNK-1068 participó en esfuerzos de reconocimiento utilizando una herramienta de.NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a utilizar un nuevo método que utiliza secuencias de comandos por lotes para recopilar información sobre los anfitriones y mapear el entorno local.
enlacesEl adversario también utiliza una amplia gama de herramientas para facilitar el robo de credenciales -
- Mimikatz, para volcar las contraseñas de la memoria
- Grabadora LSA , para enganchar Usuario de inicio de sesión de LSAP EX2 para registrar la contraseña de WinLogon
- Dumpit para Linux y Marco de volatilidad para extraer los hashes de contraseñas de la memoria
- Herramienta de exportación de contraseñas de SQL Server Management Studio , para extraer el contenido de "sqlstudio.bin», que almacena la información de conexión para Microsoft SQL Server Management Studio (SSMS)
«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y scripts por lotes, el grupo ha mantenido con éxito operaciones sigilosas mientras se infiltra en organizaciones críticas», concluyó Unit 42.
«Este grupo de actividades demuestra su versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el hecho de centrarse en el robo de credenciales y la filtración de datos confidenciales de los sectores gubernamentales y de infraestructuras críticas sugiere claramente que se trata de un motivo de espionaje, aún no podemos descartar por completo las intenciones de los ciberdelincuentes».
Fuentes de Información: THEHACKERNEWS